Investigadores de ciberseguridad han arrojado luz sobre un malware multiplataforma llamado remotoPE que ha sido utilizado por el Grupo Lazarus, vinculado a Corea del Norte, en ataques dirigidos a organizaciones financieras y de criptomonedas.
RemotePE, según Fox-IT, filial del grupo NCC, es parte de una cadena de ataque de varias etapas que involucra dos cargadores rastreados como DPAPILoader y RemotePELoader.
«DPAPILoader descifra y carga RemotePELoader desde el disco utilizando la API de protección de datos de Windows (DPAPI),», investigadores de seguridad Yun Zheng Hu y Mick Koomen dicho. «RemotePELoader se dirige a un servidor C2 y espera hasta que recibe la siguiente etapa: RemotePE, un RAT ejecutado completamente en la memoria y nunca escrito en el disco, sin dejar artefactos en el sistema de archivos».
RemotePE fue destacado por primera vez por el proveedor de seguridad en septiembre de 2025 en relación con un ataque dirigido a una organización anónima en el sector de las finanzas descentralizadas (DeFi), lo que llevó a la implementación de tres familias de malware, incluidas PondRAT, ThemeForestRAT y RemotePE.
La intrusión comenzó con el compromiso del dispositivo de un empleado mediante ingeniería social, después de haberse acercado a la víctima en Telegram bajo la apariencia de un empleado existente de una empresa comercial y programar una reunión en dominios falsos de Calendly y Picktime.
La secuencia de infección de RemotePE pasa por tres etapas, con la DLL DPAPILoader («Iassvc.dll») responsable de descifrar y cargar una carga útil cifrada desde el disco mediante DPAPI. El primer artefacto DPAPILoader se remonta a noviembre de 2023.
La carga útil descifrada es otro cargador, RemotePELoader, que está diseñado para contactar con un servidor remoto («aes-secure[.]net») a través de HTTP, recupera el módulo principal y lo ejecuta en la memoria, no sin antes tomar medidas para evadir la detección utilizando técnicas como puerta del infierno y parchear el seguimiento de eventos para Windows (ETW).
La etapa final es un troyano de acceso remoto completo llamado RemotePE que está escrito en C++ y sondea un servidor de comando y control (C2) para obtener más instrucciones. El malware admite seis categorías de comandos, lo que le permite:
- Obtener o modificar la configuración del C2
- Obtenga o cambie el directorio de trabajo actual, registre un nuevo módulo DLL, obtenga archivos DLL cargados y descargue un DLL
- Realizar operaciones de archivos
- Obtenga una lista de procesos en ejecución, cree un nuevo proceso o elimine el proceso por ID
- Dormir durante un intervalo predeterminado o salir de RemotePE
- Hacer ping al servidor
Un aspecto notable del comando de eliminación de archivos es que sobrescribe cada archivo con bytes constantes siete veces antes de cambiarle el nombre y eliminarlo, un patrón que también se observa en PondRAT y POOLRAT (también conocido como SIMPLESEA). Se considera que PondRAT es una versión ligera de POOLRAT.
Fox-IT dijo que obtuvo cuatro muestras de RemotePE que indican que la RAT estuvo en desarrollo activo entre mediados de 2023 y mediados de 2024. La primera versión tiene una marca de tiempo del 4 de julio de 2023.
«La clave ambiental del conjunto de herramientas, la ejecución sólo en memoria, la evasión de EDR y la baja huella forense sugieren que está diseñado específicamente para campañas de observación a largo plazo», dijeron los investigadores. «Esto permite al actor mantener silenciosamente el acceso durante un período prolongado antes de pasar a un objetivo final de alto impacto, como el robo de datos o un atraco financiero a gran escala, en consonancia con la historia conocida de este actor».
«El modelo de entrega actor-in-the-loop y la baja tasa de detección del conjunto de herramientas (ni RemotePELoader ni RemotePE aparecieron en VirusTotal antes de esta publicación) sugieren que este conjunto de herramientas puede estar reservado para objetivos de alto valor donde el objetivo es el acceso sigiloso a largo plazo, consistente con el conocido enfoque de este subgrupo de Lazarus en organizaciones financieras y de criptomonedas».
