朝鲜拉撒路集团部署无文件RemotePE木马，攻击加密货币和银行。

网络安全分析师发现了一种名为 RemotePE 的新型无文件远程访问木马 (RAT)。据信与朝鲜有关联的网络犯罪组织 Lazarus Group 正在利用该木马攻击银行和加密货币公司。.

根据最近的一项分析，这种恶意软件完全在内存中运行，因此几乎不可能在受影响的计算机系统上留下任何痕迹。.

拉扎勒斯集团利用社会工程学手段欺骗投资者。

拉撒路 集团 首先利用社交工程技术发起攻击。他们通过 Telegram 冒充交易公司的员工。为此，他们使用了 Calendly 和 Picktime 的伪造版本，这两款软件广泛用于安排会议。

在获得会议批准后，一系列事件会持续进行，直至第一个恶意软件被安装。这种“人为干预”的方法使拉撒路攻击者能够设计出有效的诱饵。.

该恶意软件通过精心设计的三阶段链运行，旨在减少磁盘操作。第一阶段是 DPAPILoader。这是一个动态链接库 (DLL)，自 2023 年 11 月起，其文件名也为 Iassvc.dll。.

该程序使用 Windows 数据保护应用程序编程接口 (DPAPI) 来解密存储在磁盘上的有效载荷。.

解密后的有效载荷随后被传递给 RemotePELoader，后者会与 aes-secure[.]net 的 C2 服务器建立 HTTP 连接。之后，它会在内存中下载并运行最后一个 RemotePE 阶段。.

为了绕过 EDR 解决方案， RemotePELoader 使用地狱之门技术和 ETW 补丁来逃避检测。

最后，RemotePE RAT 的主要有效载荷从未与文件系统接触，从而在整个攻击链中保持了较低的取证可见性。该恶意软件于 2025 年 9 月首次被发现。.

据报道，在一次dent中，一家去中心化金融（DeFi）公司的基础设施遭到了三种不同的远程访问木马（RAT）——RemotePE、PondRAT 和 ThemeForestRAT——的攻击，这些木马最终互相取代了对方。.

先进技术和人工智能正成为交易员的噩梦

此前，加密货币投资者借助人工智能和技术来简化交易流程。如今，这些工具却落入了黑客之手，给他们造成了巨大的经济损失。.

RemotePE 恶意软件利用 DPAPI 进行环境密钥加密、仅内存执行、ETW 修补以及 Hell's Gate 漏洞，使得传统方法几乎无法检测到它。NCC Fox-IT指出，这些特性表明，与典型的破坏性恶意软件攻击不同，该恶意软件旨在长期维持自身运行，以便在发动攻击前进行侦察。

拉扎勒斯集团在 2026 年前四个月已经窃取了约 5.77 亿美元的加密货币。 全球所有加密货币盗窃案的 76%尽管只发生了两起重大黑客事件dent据区块链分析公司 TRM Labs

归因于朝鲜的加密货币黑客攻击比例急剧上升。从前几年的个位数增至2025年的64%和2026年的76%。自2017年以来，朝鲜窃取的金额已达60亿美元。据称，这些资金被用于资助朝鲜在制裁下进行的武器和核武器研发项目。.

黑客利用人工智能破坏大型科技公司背后的开发人员。

网络安全专家发现了一起大规模攻击事件，黑客利用Ghost内容管理系统的一个严重SQL注入漏洞，攻击了700多个网站。此次网络攻击使攻击者能够获取管理员账户的用户名和密码，并通过JavaScript重定向将恶意软件注入到ClickFix分发渠道中。.

目标平台包括学术机构、人工智能项目、 区块链 服务、软件即服务供应商、网络安全研究机构、新闻机构和金融科技公司。

遇到虚假验证码的用户会被要求在“运行”对话框中输入一段 Base64 编码的字符串。在此步骤中，他们可以下载一个包含批处理脚本的 ZIP 文件。该批处理脚本随后会运行一个 PowerShell 命令，该命令会从远程服务器获取已签名的 DLL 文件或 JavaScript 文件。.

早期版本的恶意软件会使用 rundll32.exe 运行一个 DLL 文件。然而，最新版本会安装一个名为 Grape 的开源tron 应用程序的 Inno Setup 安装程序。安装完成后，该恶意软件会持续运行，并每 30 秒轮询一次 C2 域名 web-telegram[.]ug。.