Группа Lazarus, предположительно связанная с властями Северной Кореи, внедрила новейший бесфайловый троян удалённого доступа (RAT) под названием RemotePE, нацеленный на банки и криптовалютные компании. Как установили аналитики Fox-IT (подразделение NCC Group), вредонос функционирует исключительно в оперативной памяти, не оставляя следов на диске, что делает его практически невидимым для традиционных средств защиты.
Атака начинается с фишинга через Telegram: злоумышленники выдают себя за сотрудников трейдинговых фирм и используют поддельные копии Calendly и Picktime для назначения встреч. После одобрения встречи запускается трёхэтапная цепочка заражения. Первый компонент — DPAPILoader (динамическая библиотека Iassvc.dll, известная с ноября 2023 года) — расшифровывает полезную нагрузку с диска с помощью Windows DPAPI. Затем RemotePELoader устанавливает HTTP-соединение с командным сервером aes-secure[.]net и загружает основную часть RemotePE, которая исполняется в памяти. Для обхода EDR-решений применяются методы Hell’s Gate и ETW Patching, что сохраняет крайне низкую заметность.
Впервые RemotePE обнаружен в сентябре 2025 года. В одном из расследований у DeFi-компании инфраструктура была скомпрометирована сразу тремя RAT — RemotePE, PondRAT и ThemeForestRAT, которые последовательно сменяли друг друга. Эксперты подчёркивают, что подобная техника указывает на долговременное закрепление для разведки перед решающим ударом, а не на типичную разрушительную атаку.
По данным TRM Labs, за первые четыре месяца 2026 года Lazarus украли около $577 млн в криптовалюте — 76% от общего объёма всех зарегистрированных хищений за этот период. Доля северокорейских хакеров в мировых кражах криптоактивов резко выросла: с однозначных процентов в предыдущие годы до 64% в 2025-м и 76% в 2026-м. С 2017 года группа нанесла ущерб на сумму $6 млрд. По мнению западных специалистов, эти средства направляются на финансирование оружейных и ядерных программ КНДР в обход санкций.
