El grupo norcoreano Lazarus Group despliega el troyano RemotePE, que no requiere archivos y cuyo objetivo son las criptomonedas y los bancos

Analistas de ciberseguridad han descubierto un nuevo troyano de acceso remoto (RAT) sin archivos, llamado RemotePE. El Grupo Lazarus, un grupo de ciberdelincuentes que se cree está vinculado a Corea del Norte, lo está utilizando para atacar bancos y empresas de criptomonedas.

Según un análisis reciente, este malware funciona completamente en la memoria, lo que hace prácticamente imposible que deje rastro alguno en los sistemas informáticos afectados.

Lazarus Group recurre a la ingeniería social para estafar a los inversores

El Grupo Lazarus inicia el ataque mediante técnicas de ingeniería social. Se hacen pasar por empleados de empresas de trading a través de Telegram. Para ello, utilizan copias falsas de Calendly y Picktime, aplicaciones muy utilizadas para programar reuniones.

Tras obtener la aprobación para una reunión, la cadena de eventos continúa hasta que se instala el primer programa malicioso. Este método de intervención humana permite a los operadores de Lazarus desarrollar señuelos eficaces.

El malware opera mediante una cadena de tres etapas bien coordinada que busca reducir las operaciones de disco. La primera es DPAPILoader. Se trata de una biblioteca de vínculos dinámicos (DLL), también conocida por su nombre de archivo Iassvc.dll desde noviembre de 2023.

El programa utiliza la interfaz de programación de aplicaciones de protección de datos de Windows (DPAPI) para descifrar una carga útil almacenada en el disco.

La carga útil descifrada se pasa a RemotePELoader, que crea una conexión HTTP con el servidor C2 en aes-secure[.]net. Después, descarga y ejecuta la última etapa de RemotePE en memoria.

Para eludir las soluciones EDR , RemotePELoader utiliza técnicas de Hell's Gate y parcheo ETW para evitar la detección.

Finalmente, la carga útil principal del RAT RemotePE nunca entra en contacto con el sistema de archivos, lo que mantiene una baja visibilidad forense a lo largo de toda la cadena de ataque. Este malware fue descubierto por primera vez en septiembre de 2025.

En eldentreportado, una empresa de finanzas descentralizadas (DeFi) vio comprometida su infraestructura por tres RAT diferentes: RemotePE, PondRAT y ThemeForestRAT, que finalmente se reemplazaron entre sí.

La tecnología avanzada y la IA se convierten en la peor pesadilla de los operadores

Anteriormente, los inversores en criptomonedas recurrían a la IA y la tecnología para optimizar sus operaciones. Ahora, esas mismas herramientas han caído en manos de hackers, causándoles enormes pérdidas económicas.

La indexación ambiental mediante DPAPI, la ejecución solo en memoria, la aplicación de parches ETW y Hell's Gate hacen que RemotePE sea prácticamente imposible de detectar con métodos tradicionales. Los analistas de Fox-IT, filial de NCC Group, han señalado que estas características sugieren que el malware está diseñado para mantenerse activo a largo plazo y realizar labores de reconocimiento antes de lanzar un ataque, a diferencia de los típicos ataques de malware disruptivo.

El Grupo Lazarus ya ha robado alrededor de 577 millones de dólares en criptomonedas en los primeros cuatro meses de 2026. Esto representa el 76% de todos los robos de criptomonedas en el mundo, a pesar de que solo se han producido dos incidentes importantes de pirateríadent, según la empresa de análisis de blockchain TRM Labs.

El porcentaje de ciberataques atribuibles a Corea del Norte ha aumentado drásticamente. De cifras de un solo dígito en años anteriores, pasó al 64 % en 2025 y al 76 % en 2026. El monto récord robado asciende a 6 mil millones de dólares desde 2017. Se alega que estos fondos financian los programas de desarrollo nuclear y de armas del país en medio de las sanciones.

Los hackers recurren a la IA para desestabilizar a los desarrolladores de las principales empresas tecnológicas

Expertos en ciberseguridad han descubierto un ataque a gran escala en el que piratas informáticos atacaron más de 700 sitios web que utilizan el sistema de gestión de contenido Ghost, explotando una vulnerabilidad crítica de inyección SQL. Los ciberataques permitieron a los atacantes acceder a los nombres de usuario y contraseñas de las cuentas de administrador, lo que les posibilitó inyectar malware mediante redirecciones JavaScript en sus canales de distribución de ClickFix.

Las plataformas objetivo incluyen instituciones académicas, proyectos de inteligencia artificial, de blockchain , proveedores de software como servicio, fuentes de investigación en ciberseguridad, agencias de noticias y empresas de tecnología financiera.

A las víctimas que se topan con el CAPTCHA falso se les pide que introduzcan una cadena codificada en Base64 en el cuadro de diálogo Ejecutar. En este paso, pueden descargar un archivo ZIP que contiene un script por lotes. Este script ejecuta un comando de PowerShell que descarga archivos DLL o JavaScript firmados desde un servidor remoto.

Las versiones anteriores del malware ejecutaban una DLL mediante rundll32.exe. Sin embargo, las versiones recientes instalan un instalador Inno Setup para una versión de código abierto de la aplicacióntron llamada Grape. Tras la instalación, el malware se vuelve persistente y sondea el dominio C2 web-telegram[.]ug cada 30 segundos.