O grupo norte-coreano Lazarus implanta o trojan RemotePE sem arquivo, visando criptomoedas e bancos

Analistas de cibersegurança descobriram um novo trojan de acesso remoto sem arquivo (RAT), chamado RemotePE. Ele está sendo usado pelo Grupo Lazarus, um grupo de cibercriminosos que se acredita estar associado à Coreia do Norte, para atacar bancos e empresas de criptomoedas.

Segundo uma análise recente, esse malware funciona inteiramente na memória, tornando praticamente impossível deixar qualquer rastro nos sistemas de computador afetados.

O Grupo Lazarus utiliza engenharia social para fraudar investidores

O grupo Lazarus inicia o ataque cibernético utilizando técnicas de engenharia social. Eles se fazem passar por funcionários de empresas de trading via Telegram. Para isso, usam cópias falsas do Calendly e do Picktime, aplicativos amplamente utilizados para agendamento de reuniões.

Após a aprovação da reunião, a sequência de eventos prossegue até a instalação do primeiro malware. Esse método de "intervenção humana" permite que os operadores do Lazarus desenvolvam iscas eficazes.

O malware opera através de uma cadeia bem coordenada de três etapas que visa reduzir as operações de disco. A primeira etapa é o DPAPILoader. Trata-se de uma biblioteca de vínculo dinâmico (DLL), também conhecida pelo nome de arquivo Iassvc.dll desde novembro de 2023.

O programa utiliza a Interface de Programação de Aplicativos de Proteção de Dados do Windows (DPAPI) para descriptografar uma carga útil armazenada em disco.

A carga útil descriptografada é então passada para o RemotePELoader, que cria uma conexão HTTP com o C2 em aes-secure[.]net. Depois disso, ele baixa e executa o último estágio do RemotePE na memória.

Para contornar as soluções EDR , o RemotePELoader utiliza técnicas de Hell's Gate e patches ETW para evitar a detecção.

Por fim, a carga útil principal do RemotePE RAT nunca entra em contato com o sistema de arquivos, mantendo baixa visibilidade forense ao longo de toda a cadeia de ataque. Este malware foi descoberto pela primeira vez em setembro de 2025.

Nodentrelatado, uma empresa de finanças descentralizadas (DeFi) teve sua infraestrutura comprometida por três RATs diferentes — RemotePE, PondRAT e ThemeForestRAT — que eventualmente se substituíram umas às outras.

Tecnologia avançada e IA se transformam no pior pesadelo dos traders

Antes, os investidores em criptomoedas recorriam à IA e à tecnologia para otimizar as negociações. Agora, essas mesmas ferramentas caíram nas mãos de hackers, causando-lhes enormes prejuízos financeiros.

A manipulação de ambiente por meio de DPAPI, a execução somente em memória, a aplicação de patches ETW e o Hell's Gate tornam o RemotePE praticamente impossível de detectar com métodos tradicionais. Analistas da Fox-IT, uma afiliada do NCC Group, observaram que essas características sugerem que o malware foi projetado para se manter ativo a longo prazo, realizando reconhecimento antes de lançar um ataque, diferentemente dos ataques de malware disruptivos típicos.

O grupo Lazarus já roubou cerca de US$ 577 milhões em criptomoedas nos primeiros quatro meses de 2026. Isso representa 76% de todos os roubos de criptomoedas no mundo, apesar de terem ocorrido apenas dois grandes incidentes de hackingdentde acordo com a empresa de análise de blockchain TRM Labs.

A porcentagem de ataques cibernéticos a criptomoedas atribuídos à Coreia do Norte aumentou drasticamente. De números de um dígito em anos anteriores, subiu para 64% em 2025 e 76% em 2026. O valor recorde roubado já chega a US$ 6 bilhões desde 2017. Esses fundos supostamente financiam os programas de desenvolvimento de armas e nucleares do país, em meio às sanções.

Hackers recorrem à IA para desestabilizar desenvolvedores por trás de grandes empresas de tecnologia

Especialistas em cibersegurança descobriram um ataque em larga escala no qual hackers visaram mais de 700 sites que utilizam o sistema de gerenciamento de conteúdo Ghost, explorando uma vulnerabilidade crítica de injeção de SQL. Os ciberataques deram aos invasores acesso aos nomes de usuário e senhas das contas de administrador, permitindo-lhes injetar malware por meio de redirecionamentos em JavaScript nos canais de distribuição do ClickFix.

As plataformas visadas incluem instituições acadêmicas, iniciativas de IA, de blockchain , fornecedores de software como serviço (SaaS), fontes de pesquisa em segurança cibernética, agências de notícias e empresas de tecnologia financeira (fintech).

As vítimas que se deparam com o CAPTCHA falso são solicitadas a inserir uma string codificada em Base64 na caixa de diálogo Executar. Nessa etapa, elas podem baixar um arquivo ZIP contendo um script em lote. Esse script em lote executa um comando do PowerShell que busca arquivos DLL ou JavaScript assinados em um servidor remoto.

As versões anteriores do malware executavam uma DLL usando o rundll32.exe. No entanto, as versões recentes instalam um instalador Inno Setup para uma versão de código aberto do aplicativotron chamada Grape. Após a instalação, o malware torna-se persistente e consulta o domínio web-telegram[.]ug do servidor de comando e controle a cada 30 segundos.