Investigadores de ciberseguridad han arrojado luz sobre un malware multiplataforma llamado RemotePE, que ha sido utilizado por el grupo Lazarus, vinculado a Corea del Norte, en ataques dirigidos a organizaciones financieras y de criptomonedas. Según Fox-IT, subsidiaria de NCC Group, RemotePE es parte de una cadena de ataque de múltiples etapas que involucra dos cargadores: DPAPILoader y RemotePELoader.
"DPAPILoader descifra y carga RemotePELoader desde el disco utilizando la API de Protección de Datos de Windows (DPAPI)", dijeron los investigadores de seguridad Yun Zheng Hu y Mick Koomen. "RemotePELoader envía señales a un servidor C2 y espera hasta recibir la siguiente etapa: RemotePE, un RAT ejecutado completamente en memoria y nunca escrito en disco, sin dejar artefactos en el sistema de archivos".
RemotePE fue destacado por primera vez por el proveedor de seguridad en septiembre de 2025 en relación con un ataque contra una organización no identificada en el sector de las finanzas descentralizadas (DeFi), que resultó en el despliegue de tres familias de malware: PondRAT, ThemeForestRAT y RemotePE. La intrusión comenzó con el compromiso del dispositivo de un empleado mediante ingeniería social, después de que el atacante contactara a la víctima en Telegram bajo la apariencia de un empleado existente de una empresa comercial y programara una reunión en dominios falsos de Calendly y Picktime.
La secuencia de infección de RemotePE pasa por tres etapas, siendo la primera el DPAPILoader DLL ("Iassvc.dll"), responsable de descifrar y cargar una carga útil cifrada desde el disco usando DPAPI. El artefacto más antiguo de DPAPILoader data de noviembre de 2023. La carga útil descifrada es otro cargador, RemotePELoader, diseñado para contactar a un servidor remoto ("aes-secure[.]net") a través de HTTP, obtener el módulo central y ejecutarlo en memoria, pero antes toma medidas para evadir la detección utilizando técnicas como Hell's Gate y parcheando Event Tracing for Windows (ETW).
La etapa final es un troyano de acceso remoto completo llamado RemotePE, escrito en C++, que consulta un servidor de comando y control (C2) en busca de instrucciones adicionales. El malware admite seis categorías de comandos, que le permiten:
- Obtener o modificar la configuración del C2
- Obtener o cambiar el directorio de trabajo actual, registrar un nuevo módulo DLL, obtener DLLs cargados y descargar un DLL
- Realizar operaciones de archivos
- Obtener una lista de procesos en ejecución, crear un nuevo proceso o eliminar un proceso por ID
- Dormir durante un intervalo predeterminado o salir de RemotePE
- Hacer ping al servidor
Un aspecto notable del comando de eliminación de archivos es que sobrescribe cada archivo con bytes constantes siete veces antes de renombrarlo y eliminarlo, un patrón también observado en PondRAT y POOLRAT (también conocido como SIMPLESEA). Se evalúa que PondRAT es una versión ligera de POOLRAT.
Fox-IT dijo que obtuvo cuatro muestras de RemotePE que indican que el RAT estuvo en desarrollo activo entre mediados de 2023 y mediados de 2024. La primera versión tiene una marca de tiempo de compilación del 4 de julio de 2023.
"El conjunto de herramientas, con su clave ambiental, ejecución solo en memoria, evasión de EDR y bajo rastro forense, sugiere que está diseñado específicamente para campañas de observación a largo plazo", dijeron los investigadores. "Esto permite al actor mantener un acceso silencioso durante un período prolongado antes de pasar a un objetivo final de alto impacto, como el robo de datos o un atraco financiero a gran escala, consistente con la historia conocida de este actor".
"El modelo de entrega con el actor en el bucle y la baja tasa de detección del conjunto de herramientas (ni RemotePELoader ni RemotePE aparecieron en VirusTotal antes de esta publicación) sugieren que este conjunto de herramientas puede estar reservado para objetivos de alto valor donde el acceso sigiloso a largo plazo es el objetivo, consistente con el enfoque conocido de este subgrupo de Lazarus en organizaciones financieras y de criptomonedas".
