Pesquisadores de cibersegurança revelaram detalhes de um malware multiplataforma chamado RemotePE, usado pelo grupo Lazarus, ligado à Coreia do Norte, em ataques contra organizações do setor financeiro e de criptomoedas.
Segundo a Fox-IT, subsidiária da NCC Group, o RemotePE faz parte de uma cadeia de ataque em várias etapas que envolve dois loaders monitorados como DPAPILoader e RemotePELoader.
“O DPAPILoader descriptografa e carrega o RemotePELoader a partir do disco usando a Windows Data Protection API (DPAPI)”, afirmaram os pesquisadores de segurança Yun Zheng Hu e Mick Koomen.
“O RemotePELoader faz conexão com um servidor C2 e aguarda até receber a próxima etapa: o RemotePE, um RAT executado inteiramente na memória e nunca gravado em disco, sem deixar artefatos no sistema de arquivos.”
O RemotePE foi destacado pela empresa de segurança pela primeira vez em setembro de 2025, em conexão com um ataque contra uma organização não identificada do setor de finanças descentralizadas, ou DeFi.
A ação levou à instalação de três famílias de malware, incluindo PondRAT, ThemeForestRAT e RemotePE.
A intrusão começou com a invasão do dispositivo de um funcionário por meio de engenharia social.
Para isso, os criminosos abordaram a vítima no Telegram fingindo ser um funcionário de uma empresa de negociação e marcaram uma reunião em domínios falsos da Calendly e da Picktime.
A sequência de infecção do RemotePE ocorre em três etapas.
Na primeira, a DLL do DPAPILoader, chamada Iassvc.dll, é responsável por descriptografar e carregar um payload criptografado a partir do disco usando o DPAPI.
O artefato mais antigo do DPAPILoader data de novembro de 2023.
O payload descriptografado é outro loader, o RemotePELoader, projetado para contatar um servidor remoto, aes-secure[.]net, via HTTP, buscar o módulo principal e executá-lo na memória.
Antes disso, ele adota medidas para evitar detecção, usando técnicas como Hell's Gate e a correção do Event Tracing for Windows, ou ETW.
Na etapa final, entra em cena um trojan de acesso remoto completo, chamado RemotePE, desenvolvido em C++ e que consulta um servidor de command and control, ou C2, em busca de novas instruções.
O malware suporta seis categorias de comandos, permitindo:
Obter ou modificar a configuração do C2
Obter ou alterar o diretório de trabalho atual, registrar um novo módulo DLL, listar DLLs carregadas e descarregar uma DLL
Executar operações com arquivos
Listar processos em execução, criar um novo processo ou encerrar um processo pelo ID
Aguardar por um intervalo predeterminado ou sair do RemotePE
Executar um ping no servidor
Um aspecto notável do comando de exclusão de arquivos é que ele sobrescreve cada arquivo com bytes constantes sete vezes antes de renomeá-lo e apagá-lo.
Esse padrão também foi observado no PondRAT e no POOLRAT, também conhecido como SIMPLESEA.
O PondRAT é considerado uma versão mais leve do POOLRAT.
A Fox-IT afirmou ter obtido quatro amostras do RemotePE, indicando que o RAT esteve em desenvolvimento ativo entre meados de 2023 e meados de 2024.
A primeira versão tem registro de 4 de julho de 2023.
“O uso de chaves ligadas ao ambiente, a execução apenas na memória, a evasão de EDR e a baixa pegada forense sugerem que a ferramenta foi criada especificamente para campanhas de observação de longo prazo”, disseram os pesquisadores.
“Isso permite que o ator mantenha acesso de forma discreta por um período prolongado antes de avançar para um objetivo final de alto impacto, como roubo de dados ou um grande assalto financeiro, em linha com o histórico conhecido desse grupo.”
“O modelo de entrega com participação do ator e a baixa taxa de detecção da ferramenta, já que nem o RemotePELoader nem o RemotePE apareciam no VirusTotal antes desta publicação, sugerem que esse conjunto pode ser reservado para alvos de alto valor, em que o objetivo é manter acesso furtivo por longos períodos, coerente com o foco histórico desse subgrupo do Lazarus em organizações financeiras e de criptomoedas.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...