Lazarus despliega un troyano sin archivos RemotePE para atacar a la industria cripto y los bancos

Según Cryptopolitan el 26 de mayo, analistas de ciberseguridad encontraron un nuevo troyano de acceso remoto (RAT) sin archivos llamado RemotePE, vinculado al Grupo Lazarus asociado a Corea del Norte. El Grupo Lazarus lo estaría usando para atacar bancos y empresas de criptomonedas. RemotePE se ejecuta completamente en memoria, sin tocar el sistema de archivos, lo que hace que los antivirus y las herramientas forenses tradicionales sean muy difíciles de detectar.

Cadena de ataque de tres etapas de RemotePE: mecanismo de confirmación sin tocar el sistema de archivos

RemotePE ejecuta el proceso en tres etapas encadenadas, todo sin tocar el sistema de archivos:

Stage 1 - DPAPILoader：biblioteca de vinculación dinámica (DLL; desde noviembre de 2023, el nombre del archivo también es Iassvc.dll), usando Windows DPAPI para descifrar la carga útil en el disco

Stage 2 - RemotePELoader：establece una conexión HTTP con el servidor C2 de aes-secure[.]net; usa la técnica de Hell's Gate y parches de ETW para eludir las soluciones EDR

Stage 3 - RemotePE：la carga útil principal se descarga y ejecuta en memoria, sin tocar nunca el sistema de archivos

Una empresa DeFi confirmó haber sufrido ataques consecutivos de tres tipos de RAT: RemotePE, PondRAT y ThemeForestRAT.

Técnicas de ingeniería social: hacerse pasar por empleados de una empresa de transacciones

Los atacantes se hacen pasar por empleados de una empresa de trading a través de Telegram, usando Calendly y Picktime falsificados para programar reuniones y ejecutar ataques de ingeniería social; una vez obtenida la aprobación de la reunión, se inicia la cadena de instalación de malware malicioso en tres etapas. Fox-IT señaló que este método de “intervención humana” permite a los atacantes diseñar cebo efectivo dirigido a objetivos específicos.

Robo de estadísticas de 2026 de Lazarus Group: TRM Labs confirma los datos

TRM Labs confirma que, en los cuatro primeros meses de 2026, el Grupo Lazarus robó aproximadamente 5,77 millones de dólares en criptoactivos solo mediante dos hechos importantes, lo que representa el 76% del total de robos de cripto del mundo en 2026. El porcentaje de ciberataques vinculados a Corea del Norte, que en los años anteriores era de un dígito, subió al 64% en 2025 y al 76% en 2026; desde 2017, acumuló aproximadamente 6 mil millones de dólares en robos, y se afirma que estos fondos se utilizaron para el desarrollo de armas y armas nucleares de Corea del Norte bajo sanciones.

Preguntas frecuentes

¿Cuál es la diferencia central entre RemotePE y un RAT común?

La característica central de RemotePE es la ejecución 100% en memoria (sin carga en archivos); en las tres etapas de ejecución no se toca el sistema de archivos, lo que dificulta que los antivirus y herramientas forenses tradicionales basados en escaneo de archivos lo detecten. Los analistas de Fox-IT indicaron que este diseño busca lograr una latencia prolongada para realizar reconocimiento, en lugar de causar daño a corto plazo.

¿Cómo elude Stage 2 RemotePELoader las soluciones EDR?

RemotePELoader utiliza la técnica de Hell's Gate y parches de ETW para eludir la detección y respuesta en el endpoint (EDR). Estas técnicas modifican el mecanismo de seguimiento de eventos del sistema y llaman directamente a las llamadas al sistema, evitando el monitoreo mediante los ganchos de la API de EDR.

¿Cómo se rastrean los fondos robados por Lazarus Group?

TRM Labs es la principal compañía de análisis blockchain que rastrea las actividades del Grupo Lazarus en su cadena, y confirmó los datos de robo de aproximadamente 577 millones de dólares en los cuatro primeros meses de 2026, así como el registro acumulado de aproximadamente 6 mil millones de dólares desde 2017. El método exacto de rastreo se ajusta al informe original de TRM Labs.