北朝鮮のラザルスグループが、仮想通貨と銀行を標的としたファイルレス型RemotePEトロイの木馬を展開

サイバーセキュリティアナリストは、RemotePEという名の新たなファイルレス型リモートアクセス型トロイの木馬（RAT）を発見した。これは、北朝鮮と関連があるとされるサイバー犯罪グループ、ラザルスグループによって、銀行や仮想通貨関連企業を標的にするために使用されている。.

最近の分析によると、このマルウェアは完全にメモリ上で動作するため、感染したコンピュータシステムに痕跡を残すことはほぼ不可能である。.

ラザルス・グループは投資家を騙すためにソーシャルエンジニアリングを利用している

ラザルス ・グループは 、ソーシャルエンジニアリングの手法を用いてハッキングを開始する。彼らはTelegramを通じて、トレーディング会社の従業員になりすます。そのために、彼らは会議のスケジュール調整に広く使われているCalendlyとPicktimeの偽アカウントを使用する。

会議の承認を得た後、一連のプロセスが進み、最初のマルウェアがインストールされる。この「人間が関与する」手法により、ラザルス攻撃者は効果的な誘い文句を開発することができる。.

このマルウェアは、ディスク操作を減らすことを目的とした、綿密に調整された3段階のチェーンを通じて動作します。最初の段階はDPAPILoaderです。これはダイナミックリンクライブラリ（DLL）であり、2023年11月以降はIassvc.dllというファイル名でも知られています。.

このプログラムは、Windowsデータ保護アプリケーションプログラミングインターフェイス（DPAPI）を使用して、ディスクに保存されているペイロードを復号化します。.

復号化されたペイロードはRemotePELoaderに渡され、RemotePELoaderはaes-secure[.]netにあるC2サーバーへのHTTP接続を確立します。その後、RemotePEの最終ステージをメモリ上にダウンロードして実行します。.

EDR 対策を回避するために、 ヘルズゲート技術とETWパッチングを使用して検出を回避します。

最後に、RemotePE RATのメインペイロードはファイルシステムに一切接触しないため、攻撃チェーン全体を通してフォレンジック調査における可視性は低いまま維持されます。このマルウェアは2025年9月に初めて発見されました。.

報告されたdentでは、分散型金融（DeFi）企業のインフラが、RemotePE、PondRAT、ThemeForestRATという3種類の異なるRATによって侵害され、これらのRATは最終的に互いに取って代わりました。.

先進技術とAIがトレーダーにとって最悪の悪夢に変わる

以前は、仮想通貨投資家は取引を効率化するためにAIやテクノロジーを活用していた。しかし今、同じツールがハッカーの手に渡り、投資家は甚大な経済的損失を被っている。.

DPAPIによる環境キーイング、メモリのみの実行、ETWパッチ、そしてヘルズゲートといった機能により、RemotePEは従来の方法ではほぼ検出不可能となっています。NCCグループの関連会社である Fox-ITは、これらの特徴から、このマルウェアは典型的な破壊的マルウェア攻撃とは異なり、攻撃を開始する前に偵察活動を行うために長期的に自己維持するように設計されていると指摘しています。

ラザルス・グループは2026年の最初の4ヶ月間で既に約5億7700万ドル相当の仮想通貨を盗み出している。これは、 世界全体の仮想通貨盗難額の76%わずか2件の大規模なハッキング事件にもかかわらずdentによると、 TRM Labs

北朝鮮による暗号資産ハッキングの割合が急激に上昇している。過去数年間は一桁台だったものが、2025年には64%、2026年には76%に達すると予測されている。2017年以降、北朝鮮が盗んだ金額は過去最高額の60億ドルに達している。これらの資金は、制裁措置が続く中で、北朝鮮の兵器開発および核開発計画の資金源となっているとされている。.

ハッカーがAIを利用して大手テクノロジー企業の開発者を不安定化させようとしている

サイバーセキュリティ専門家は、Ghostコンテンツ管理システム（Ghost Content Management System）を使用している700以上のサイトを標的とした大規模なサイバー攻撃を発見した。この攻撃では、重大なSQLインジェクションの脆弱性が悪用された。攻撃者は管理者アカウントのユーザー名とパスワードを入手し、JavaScriptリダイレクトを介してClickFix配信チャネルにマルウェアを注入することができた。.

対象となるプラットフォームには、学術機関、AI関連企業、 ブロックチェーン サービス、SaaS（サービスとしてのソフトウェア）ベンダー、サイバーセキュリティ研究機関、報道機関、フィンテック企業などが含まれる。

偽のCAPTCHAに遭遇した被害者は、実行ダイアログボックスにBase64エンコードされた文字列を入力するよう求められます。この手順で、バッチスクリプトを含むZIPファイルがダウンロードされます。このバッチスクリプトはPowerShellコマンドを実行し、リモートサーバーから署名付きDLLファイルまたはJavaScriptファイルを取得します。.

以前のバージョンのマルウェアは、rundll32.exeを使用してDLLを実行していました。しかし、最近のバージョンでは、Grapeと呼ばれるオープンソース版のtron アプリケーションのInno Setupインストーラーがインストールされます。インストール後、マルウェアは永続化し、30秒ごとにC2ドメインのweb-telegram[.]ugをポーリングします。.