Lazarus 部署无文件木马 RemotePE，攻击加密业和银行

据 Cryptopolitan 于 5 月 26 日报道，网络安全分析师发现名为 RemotePE 的新型无文件远端存取木马（RAT），与北韩有关联的 Lazarus Group 正利用其攻击银行和加密货币公司。RemotePE 完全在内存中运行，不接触文件系统，传统杀毒和取证工具极难侦测。

RemotePE 的三阶段攻击链：不接触文件系统的确认机制

RemotePE 通过三个串联阶段执行，整个过程不接触文件系统：

Stage 1 - DPAPILoader：动态链接程序库（DLL，自 2023 年 11 月起文件名也为 Iassvc.dll），使用 Windows DPAPI 解密磁盘上的有效载荷

Stage 2 - RemotePELoader：与 aes-secure[.]net 的 C2 服务器建立 HTTP 连接；使用地狱之门（Hell's Gate）技术和 ETW 补丁绕过 EDR 解决方案

Stage 3 - RemotePE：主要有效载荷在内存中下载并执行，从不接触文件系统

一家 DeFi 公司确认遭到 RemotePE、PondRAT 和 ThemeForestRAT 三种 RAT 的连续攻击。

社交工程手法：伪装成交易公司员工

攻击者通过 Telegram 冒充交易公司员工，使用伪造的 Calendly 和 Picktime 会议安排连接进行社交工程攻击；在获得会议批准后，启动三阶段恶意软件安装链。Fox-IT 指出，这种“人为干预”的方法使攻击者能够设计出针对具体目标的有效诱饵。

Lazarus Group 2026 年窃取统计：TRM Labs 确认数据

TRM Labs 确认，Lazarus Group 在 2026 年前四个月仅通过两起重大事件，窃取了约 5.77 亿美元加密资产，佔 2026 年全球加密窃盗总额的 76%。北韩关联骇客攻击比例从前几年的个位数，上升至 2025 年的 64% 和 2026 年的 76%；自 2017 年累计窃取约 60 亿美元，据称这些资金被用于北韩在制裁下的武器和核武研发。

常见问题

RemotePE 与普通 RAT 的核心区别是什么？

RemotePE 的核心特性是纯内存执行（无文件落地），三个执行阶段均不接触文件系统，使传统的基于文件扫描的杀毒软件和取证工具难以侦测。Fox-IT 的分析师指出，这种设计旨在实现长期潜伏以进行侦察，而非短期破坏。

Stage 2 RemotePELoader 如何绕过 EDR 解决方案？

RemotePELoader 使用地狱之门（Hell's Gate）技术和 ETW 补丁来绕过端点侦测和响应（EDR）解决方案。这些技术通过修改系统事件追踪机制并直接调用系统调用，避开 EDR 的 API 钩子监控。

Lazarus Group 窃取的资金如何被追踪？

TRM Labs 是追踪 Lazarus Group 链上活动的主要区块链分析公司，确认了 2026 年前四个月约 5.77 亿美元的窃取统计，以及自 2017 年以来累计约 60 亿美元的记录。具体追踪方法以 TRM Labs 的原始报告为准。