Underc0de - La Casa de los Informáticos

Investigadores en ciberseguridad han revelado nuevos detalles sobre RemotePE, un sofisticado malware multiplataforma utilizado por el grupo Lazarus, organización de amenazas vinculada a Corea del Norte y conocida por sus ataques dirigidos contra entidades financieras, plataformas DeFi y empresas de criptomonedas en todo el mundo.

El análisis realizado por Fox-IT, filial de NCC Group, expone una compleja cadena de infección compuesta por múltiples etapas y diseñada específicamente para mantener acceso persistente, evadir soluciones EDR y operar completamente en memoria sin dejar rastros visibles en el sistema comprometido.

La investigación demuestra cómo Lazarus continúa perfeccionando sus herramientas ofensivas para ejecutar operaciones de espionaje, robo financiero y compromiso prolongado de objetivos de alto valor dentro del ecosistema blockchain y financiero global.

¿Qué es RemotePE y por qué representa una amenaza crítica?

RemotePE es un RAT (Remote Access Trojan) avanzado escrito en C++ que permite a los atacantes controlar de forma remota sistemas comprometidos. Su principal característica es que funciona completamente en memoria, evitando escribir archivos en disco y reduciendo significativamente las posibilidades de detección por parte de antivirus tradicionales y herramientas forenses.

El malware forma parte de una arquitectura modular compuesta por:

• DPAPILoader
• RemotePELoader
• RemotePE

Cada componente cumple una función específica dentro del proceso de infección, persistencia y control remoto.

Según los investigadores, esta infraestructura maliciosa fue diseñada para operaciones de espionaje silencioso y acceso furtivo a largo plazo, una táctica ampliamente asociada con Lazarus en campañas dirigidas contra organizaciones financieras y empresas relacionadas con criptomonedas.

Lazarus y su historial de ataques financieros

El grupo Lazarus ha sido vinculado durante años a algunos de los mayores robos cibernéticos del mundo, incluyendo ataques contra exchanges de criptomonedas, plataformas DeFi, bancos y empresas tecnológicas.

Las operaciones del grupo suelen caracterizarse por:

• Ingeniería social avanzada
• Malware personalizado
• Técnicas de evasión sofisticadas
• Ataques supply chain
• Persistencia prolongada
• Robo masivo de activos digitales

En este caso, RemotePE fue identificado inicialmente en septiembre de 2025 durante una intrusión dirigida contra una organización del sector DeFi.

La campaña también involucró otras familias de malware como:

• PondRAT
• ThemeForestRAT
• POOLRAT (SIMPLESEA)

Cómo comienza la infección de RemotePE

La intrusión analizada por Fox-IT comenzó mediante técnicas de ingeniería social altamente dirigidas.

Los atacantes contactaron a la víctima a través de Telegram haciéndose pasar por un antiguo empleado de una empresa comercial. Posteriormente, programaron una falsa reunión utilizando dominios fraudulentos que imitaban servicios legítimos como Calendly y Picktime.

Este enfoque demuestra la precisión con la que Lazarus selecciona y estudia a sus víctimas antes de iniciar una operación.

Una vez comprometido el dispositivo, comienza la ejecución de la cadena de infección.

Etapa 1: DPAPILoader y el uso de Windows DPAPI

La primera etapa utiliza una DLL denominada:

• Iassvc.dll

Este componente, identificado como DPAPILoader, emplea la API de Protección de Datos de Windows (DPAPI) para descifrar cargas útiles almacenadas localmente.

El uso de DPAPI permite ocultar el malware utilizando mecanismos legítimos del sistema operativo, dificultando su análisis y detección.

Los investigadores indicaron que las muestras más antiguas de DPAPILoader se remontan a noviembre de 2023, lo que demuestra que el malware lleva años en desarrollo activo.

Etapa 2: RemotePELoader y evasión avanzada

Tras descifrar la carga útil, DPAPILoader ejecuta un segundo componente denominado RemotePELoader.

Este módulo se conecta a un servidor remoto de comando y control (C2) mediante HTTP para descargar la siguiente etapa del malware.

El dominio utilizado por los atacantes fue identificado como:

• aes-secure[.]net

Antes de cargar el payload final, RemotePELoader implementa múltiples técnicas de evasión para evitar la detección por soluciones de seguridad modernas.

Entre ellas destacan:

Hell's Gate

Técnica utilizada para evadir hooks de EDR y ejecutar llamadas directas al sistema operativo.

Patching de ETW

El malware modifica el sistema de Event Tracing for Windows (ETW) para impedir que herramientas de monitoreo registren su actividad.

Estas capacidades reflejan un alto nivel de sofisticación técnica y un profundo conocimiento interno de Windows.

RemotePE: el RAT que opera completamente en memoria

La etapa final de la cadena es RemotePE, un troyano de acceso remoto capaz de ejecutar comandos avanzados directamente desde memoria.

El malware consulta constantemente al servidor C2 para recibir instrucciones adicionales y soporta múltiples categorías de comandos.

Entre las funciones identificadas se encuentran:

Gestión de configuración

• Obtener configuración C2
• Modificar parámetros internos

Gestión de módulos

• Registrar DLLs
• Cargar bibliotecas dinámicas
• Descargar componentes adicionales

Operaciones de archivos

• Crear archivos
• Modificar datos
• Eliminar evidencias

Gestión de procesos

• Enumerar procesos activos
• Crear nuevos procesos
• Finalizar procesos específicos

Control operativo

• Suspender actividad temporalmente
• Finalizar ejecución
• Enviar señales de comunicación al C2

Técnicas avanzadas de eliminación de archivos

Uno de los aspectos más llamativos de RemotePE es su mecanismo de borrado seguro de archivos.

Antes de eliminar un archivo, el malware:

• Sobrescribe su contenido siete veces
• Utiliza bytes constantes para destruir datos
• Renombra el archivo
• Procede a eliminarlo definitivamente

Esta técnica también ha sido observada en otras herramientas asociadas con Lazarus, como PondRAT y POOLRAT.

El objetivo es dificultar la recuperación forense de evidencias tras una intrusión.

Malware diseñado para espionaje y robo financiero silencioso

Los investigadores de Fox-IT señalaron que el comportamiento de RemotePE sugiere operaciones de observación a largo plazo.

El malware está optimizado para:

• Permanecer oculto durante meses
• Evadir antivirus y EDR
• Mantener acceso persistente
• Minimizar artefactos forenses
• Esperar el momento adecuado para ejecutar ataques de alto impacto

Este enfoque es consistente con las operaciones históricas de Lazarus, donde los atacantes permanecen dentro de las redes comprometidas durante largos periodos antes de ejecutar robo de datos o transferencias financieras fraudulentas.

RemotePE y la amenaza creciente contra el sector cripto

Las organizaciones relacionadas con criptomonedas continúan siendo uno de los principales objetivos del grupo Lazarus debido al enorme valor económico de los activos digitales.

Los ataques dirigidos a:

• Exchanges
• Plataformas DeFi
• Empresas blockchain
• Fondos de inversión cripto
• Infraestructura Web3

han aumentado significativamente en los últimos años.

La utilización de malware como RemotePE demuestra que Lazarus sigue invirtiendo en herramientas cada vez más sofisticadas para comprometer sistemas críticos y acceder a credenciales sensibles.

Cómo protegerse frente a RemotePE y Lazarus

Los expertos recomiendan implementar múltiples capas de seguridad para reducir el riesgo de compromiso:

Capacitación contra ingeniería social

Los empleados deben ser entrenados para detectar:

• Dominios falsos
• Invitaciones sospechosas
• Mensajes fraudulentos en Telegram y LinkedIn

Protección EDR avanzada

Implementar soluciones capaces de detectar:

• Ejecución en memoria
• Técnicas Hell's Gate
• Manipulación ETW
• Actividad anómala de procesos

Segmentación de accesos

Limitar privilegios administrativos y restringir acceso a:

• Wallets corporativas
• Claves privadas
• Infraestructura cloud

Supervisión continua

Monitorizar:

• Tráfico HTTP sospechoso
• Conexiones C2
• Carga dinámica de DLLs
• Procesos inusuales

RemotePE confirma la evolución de Lazarus

La aparición de RemotePE evidencia que Lazarus continúa evolucionando sus capacidades ofensivas con malware diseñado específicamente para operaciones encubiertas y persistentes.

El uso de ejecución exclusivamente en memoria, evasión avanzada de EDR y técnicas antiforenses convierte a esta amenaza en una de las campañas más peligrosas dirigidas actualmente contra organizaciones financieras y empresas de criptomonedas.

A medida que los ataques patrocinados por estados se vuelven más sofisticados, las empresas deberán reforzar sus estrategias de ciberseguridad para detectar amenazas avanzadas antes de que puedan generar pérdidas financieras o compromisos masivos de información sensible.

Fuente: https://thehackernews.com/