Il gruppo nordcoreano Lazarus Group diffonde il trojan RemotePE, privo di file, prendendo di mira criptovalute e banche

Gli analisti di sicurezza informatica hanno scoperto un nuovo trojan di accesso remoto (RAT) senza file, denominato RemotePE. Viene utilizzato dal Lazarus Group, un gruppo di criminali informatici che si ritiene sia collegato alla Corea del Nord, per colpire banche e aziende del settore delle criptovalute.

Secondo una recente analisi, questo malware funziona interamente in memoria, rendendo pressoché impossibile lasciare tracce sui sistemi informatici infetti.

Lazarus Group si avvale di tecniche di ingegneria sociale per frodare gli investitori

Il gruppo Lazarus inizia l'attacco informatico utilizzando tecniche di ingegneria sociale. Si fingono dipendenti di società di trading tramite Telegram. Per fare ciò, utilizzano copie false di Calendly e Picktime, piattaforme ampiamente utilizzate per programmare riunioni.

Dopo aver ottenuto l'approvazione per un incontro, la sequenza di eventi prosegue fino all'installazione del primo malware. Questo metodo "con intervento umano" consente agli operatori di Lazarus di sviluppare esche efficaci.

Il malware opera attraverso una catena ben coordinata in tre fasi, il cui scopo è ridurre le operazioni su disco. La prima fase è DPAPILoader. Si tratta di una libreria a collegamento dinamico (DLL), nota anche con il nome file Iassvc.dll da novembre 2023.

Il programma utilizza l'interfaccia di programmazione delle applicazioni di protezione dei dati di Windows (DPAPI) per decrittografare un payload memorizzato su disco.

Il payload decrittografato viene quindi passato a RemotePELoader, che crea una connessione HTTP al server C2 all'indirizzo aes-secure[.]net. Successivamente, scarica ed esegue in memoria l'ultima fase di RemotePE.

Per aggirare le soluzioni EDR, RemotePELoader utilizza tecniche Hell's Gate e ETW Patching per eludere il rilevamento.

Infine, il payload principale del RAT RemotePE non entra mai in contatto con il filesystem, mantenendo una bassa visibilità forense lungo l'intera catena di attacco. Questo malware è stato scoperto per la prima volta nel settembre 2025.

dentsegnalato, un'azienda di finanza decentralizzata (DeFi) ha subito la compromissione della propria infrastruttura da parte di tre diversi RAT (Remote Access Trojan), ovvero RemotePE, PondRAT e ThemeForestRAT, che si sono succeduti l'uno all'altro.

Tecnologie avanzate e intelligenza artificiale si trasformano nel peggior incubo dei trader

In passato, gli investitori in criptovalute si affidavano all'intelligenza artificiale e alla tecnologia per semplificare le operazioni di trading. Ora, questi stessi strumenti sono finiti nelle mani degli hacker, causando loro ingenti danni finanziari.

Il keying ambientale tramite DPAPI, l'esecuzione in memoria, il patching ETW e Hell's Gate rendono RemotePE quasi impossibile da rilevare con i metodi tradizionali. Gli analisti di Fox-IT, una società affiliata a NCC Group, hanno osservato che queste caratteristiche suggeriscono che il malware sia progettato per sopravvivere a lungo termine e condurre attività di ricognizione prima di sferrare un attacco, a differenza dei tipici attacchi malware disruptivi.

Il gruppo Lazarus ha già rubato circa 577 milioni di dollari in criptovalute nei primi quattro mesi del 2026. Questa cifra rappresenta il 76% di tutti i furti di criptovalute a livello globalesolo due importanti episodi di hackingdent, secondo la società di analisi blockchain TRM Labs.

La percentuale di attacchi hacker nel settore delle criptovalute attribuibili alla Corea del Nord è aumentata vertiginosamente. Da cifre a una sola cifra negli anni precedenti, si è passati al 64% nel 2025 e al 76% nel 2026. L'ammontare record di criptovalute rubate dal 2017 è di 6 miliardi di dollari. Si presume che questi fondi finanzino i programmi di sviluppo di armi e armi nucleari del Paese, in un contesto di sanzioni.

Gli hacker si affidano all'intelligenza artificiale per destabilizzare gli sviluppatori di importanti aziende tecnologiche

Esperti di sicurezza informatica hanno scoperto un attacco su vasta scala in cui gli hacker hanno preso di mira oltre 700 siti che utilizzano il sistema di gestione dei contenuti Ghost, sfruttando una vulnerabilità critica di SQL injection. Gli attacchi informatici hanno consentito agli aggressori di accedere ai nomi utente e alle password degli account amministratore, permettendo loro di iniettare malware tramite reindirizzamenti JavaScript nei loro canali di distribuzione ClickFix.

Le piattaforme prese di mira includono istituzioni accademiche, progetti di intelligenza artificiale, blockchain , fornitori di software-as-a-service, fonti di ricerca sulla sicurezza informatica, agenzie di stampa e aziende fintech.

Alle vittime che si imbattono nel falso CAPTCHA viene chiesto di inserire una stringa codificata in Base64 nella finestra di dialogo Esegui. In questa fase, possono scaricare un file ZIP contenente uno script batch. Questo script batch esegue quindi un comando PowerShell che scaricherà un file DLL firmato o file JavaScript da un server remoto.

Le versioni precedenti del malware eseguivano una DLL tramite rundll32.exe. Tuttavia, le versioni recenti installano un programma di installazione Inno Setup per una versione open-source dell'applicazionetron chiamata Grape. Dopo l'installazione, il malware diventa persistente e interroga il dominio C2 web-telegram[.]ug ogni 30 secondi.