Die nordkoreanische Lazarus-Gruppe setzt den dateilosen RemotePE-Trojaner ein, der es auf Kryptowährungen und Banken abgesehen hat

Cybersicherheitsexperten haben einen neuen dateilosen Remote-Access-Trojaner (RAT) namens RemotePE entdeckt. Er wird von der Lazarus-Gruppe, einer mutmaßlich mit Nordkorea verbundenen Cyberkriminellen-Organisation, eingesetzt, um Banken und Krypto-Unternehmen anzugreifen.

Einer aktuellen Analyse zufolge arbeitet diese Malware ausschließlich im Arbeitsspeicher, wodurch es nahezu unmöglich ist, Spuren auf den betroffenen Computersystemen zu hinterlassen.

Die Lazarus Group nutzt Social Engineering, um Anleger zu betrügen

Die Lazarus-Gruppe beginnt den Hack mit Social-Engineering-Techniken. Sie geben sich über Telegram als Mitarbeiter von Handelsfirmen aus. Dazu verwenden die Angreifer gefälschte Kopien von Calendly und Picktime, die häufig zur Terminplanung genutzt werden.

Nach der Genehmigung eines Treffens läuft die Ereigniskette so lange ab, bis die erste Schadsoftware installiert ist. Diese Methode, bei der der Mensch in den Regelkreis eingebunden ist, ermöglicht es den Betreibern von Lazarus, wirksame Köder zu entwickeln.

Die Schadsoftware arbeitet mit einer gut abgestimmten dreistufigen Kette, die darauf abzielt, Festplattenzugriffe zu reduzieren. Die erste Stufe ist DPAPILoader. Dabei handelt es sich um eine dynamische Linkbibliothek (DLL), die seit November 2023 auch unter dem Dateinamen Iassvc.dll bekannt ist.

Das Programm verwendet die Windows Data Protection Application Programming Interface (DPAPI), um eine auf der Festplatte gespeicherte Nutzlast zu entschlüsseln.

Die entschlüsselte Nutzlast wird anschließend an RemotePELoader übergeben, welches eine HTTP-Verbindung zum C2-Server unter aes-secure[.]net herstellt. Danach lädt es die letzte RemotePE-Phase herunter und führt sie im Arbeitsspeicher aus.

Um EDR-Lösungen zu umgehen , verwendet RemotePELoader Hell's Gate-Techniken und ETW-Patching, um einer Erkennung zu entgehen.

Schließlich kommt die eigentliche RemotePE-RAT-Payload nie mit dem Dateisystem in Kontakt, wodurch die forensische Nachverfolgbarkeit während der gesamten Angriffskette gering bleibt. Diese Malware wurde erstmals im September 2025 entdeckt.

Bei dem gemeldetendentwurde die Infrastruktur eines Unternehmens im Bereich dezentrale Finanzen (DeFi) durch drei verschiedene RATs – RemotePE, PondRAT und ThemeForestRAT – kompromittiert, die sich schließlich gegenseitig ablösten.

Fortschrittliche Technologien und KI werden zum schlimmsten Albtraum der Händler

Früher nutzten Krypto-Investoren KI und Technologie, um den Handel zu vereinfachen. Nun sind dieselben Tools in die Hände von Hackern gefallen und verursachen ihnen enorme finanzielle Verluste.

Die Umgebungssteuerung mittels DPAPI, die Ausführung ausschließlich im Arbeitsspeicher, das Patchen von ETW und Hell's Gate machen RemotePE mit herkömmlichen Methoden nahezu unmöglich zu erkennen. Analysten von Fox-IT, einem Tochterunternehmen der NCC Group, stellten fest, dass diese Eigenschaften darauf hindeuten, dass die Malware – anders als typische, störende Malware-Angriffe – darauf ausgelegt ist, sich langfristig selbst zu erhalten und Aufklärung zu betreiben, bevor sie einen Angriff startet.

Die Lazarus-Gruppe hat in den ersten vier Monaten des Jahres 2026 bereits Kryptowährungen im Wert von rund 577 Millionen US-Dollar gestohlen. Dies entspricht % aller weltweiten Krypto-Diebstähleerst zwei größere Hackerangriffe gabdentlaut dem Blockchain-Analyseunternehmen .

Der Anteil der Nordkorea zuzuschreibenden Krypto-Hacks ist stark angestiegen: von einstelligen Werten in den Vorjahren auf 64 % im Jahr 2025 und 76 % im Jahr 2026. Die bisherige Rekordsumme der gestohlenen Kryptowährungen beläuft sich seit 2017 auf 6 Milliarden US-Dollar. Mit diesen Geldern sollen mutmaßlich die Waffen- und Atomprogramme des Landes trotz Sanktionen finanziert werden.

Hacker setzen KI ein, um die Entwickler großer Technologieunternehmen zu destabilisieren

Cybersicherheitsexperten haben einen groß angelegten Angriff entdeckt, bei dem Hacker über 700 Websites mit dem Content-Management-System Ghost ins Visier nahmen und eine kritische SQL-Injection-Schwachstelle ausnutzten. Die Angreifer erlangten Zugriff auf Benutzernamen und Passwörter von Administratorkonten und konnten so über JavaScript-Weiterleitungen Schadsoftware in die ClickFix-Vertriebskanäle einschleusen.

Zu den anvisierten Plattformen gehören akademische Einrichtungen, KI-Projekte, Blockchain- Dienste, Software-as-a-Service-Anbieter, Forschungseinrichtungen im Bereich Cybersicherheit, Nachrichtenagenturen und Fintech-Unternehmen.

Opfer, die auf das gefälschte CAPTCHA stoßen, werden aufgefordert, eine Base64-kodierte Zeichenfolge in das Dialogfeld „Ausführen“ einzugeben. Anschließend können sie eine ZIP-Datei mit einem Batch-Skript herunterladen. Dieses Batch-Skript führt dann einen PowerShell-Befehl aus, der entweder eine signierte DLL-Datei oder JavaScript-Dateien von einem Remote-Server abruft.

Frühere Versionen der Malware führten eine DLL-Datei mithilfe der rundll32.exe aus. Neuere Versionen installieren jedoch ein Inno Setup-Installationsprogramm für eine Open-Source-Version dertron Anwendung namens Grape. Nach der Installation nistet sich die Malware ein und fragt alle 30 Sekunden die C2-Domain web-telegram[.]ug ab.