Lazarus setzt ein nicht dokumentiertes RemotePE-Remotezugriffs-Trojaner ein und greift den Krypto-Sektor und Banken an

Laut Cryptopolitan berichtete am 26. Mai, haben Sicherheitsanalysten eine neue dateilose Remote-Access-Trojaner (RAT) mit dem Namen RemotePE entdeckt, die mit der mit Nordkorea verbundenen Lazarus Group in Verbindung stehen soll. Die Lazarus Group nutze RemotePE, um Banken und Krypto-Unternehmen anzugreifen. RemotePE läuft vollständig im Arbeitsspeicher, berührt nicht das Dateisystem und ist für herkömmliche Antiviren- und forensische Tools extrem schwer zu erkennen.

RemotePEs Angriffskette in drei Phasen: Bestätigung, dass kein Dateisystem berührt wird

RemotePE führt die Angriffe über drei miteinander verknüpfte Phasen aus, wobei der gesamte Prozess kein Dateisystem berührt:

Stage 1 - DPAPILoader: Dynamisch verknüpfte Bibliothek (DLL, der Dateiname ist seit November 2023 ebenfalls Iassvc.dll), die die Nutzlast auf der Festplatte mithilfe von Windows DPAPI entschlüsselt

Stage 2 - RemotePELoader: Baut eine HTTP-Verbindung mit dem C2-Server der aes-secure[.]net auf; nutzt Hell's Gate-Technik und ETW-Patches, um EDR-Lösungen zu umgehen

Stage 3 - RemotePE: Die Hauptnutzlast wird im Arbeitsspeicher heruntergeladen und ausgeführt und berührt nie das Dateisystem

Ein DeFi-Unternehmen bestätigte, dass es zu aufeinanderfolgenden Angriffen durch drei RATs kam: RemotePE, PondRAT und ThemeForestRAT.

Social-Engineering-Techniken: Tarnung als Mitarbeiter eines Handelsunternehmens

Die Angreifer geben sich über Telegram als Mitarbeiter eines Handelsunternehmens aus und nutzen gefälschte Calendly- und Picktime-Termine, um über Social Engineering Verbindungen herzustellen; nachdem die Besprechung genehmigt wurde, wird die dreistufige Malware-Installationskette gestartet. Fox-IT weist darauf hin, dass diese Methode des „menschlichen Eingriffs“ es den Angreifern ermöglicht, passgenaue Köder für konkrete Ziele zu entwerfen.

Lazarus Group: Diebstahlstatistik für 2026 bestätigt von TRM Labs

TRM Labs bestätigt, dass die Lazarus Group in den ersten vier Monaten von 2026 lediglich über zwei große Vorfälle Kryptowert im Umfang von etwa 5,77 Milliarden US-Dollar gestohlen hat, was 76% des gesamten Krypto-Diebstahls im Jahr 2026 weltweit entspricht. Der Anteil der mit Nordkorea verbundenen Hackerangriffe stieg von einstelligen Werten der Vorjahre auf 64% im Jahr 2025 und 76% im Jahr 2026; seit 2017 wurden insgesamt rund 60 Milliarden US-Dollar gestohlen, die Berichten zufolge zur Entwicklung von Waffen und Nuklearprogrammen für Nordkorea unter Sanktionen eingesetzt wurden.

Häufige Fragen

Was ist der Kernunterschied zwischen RemotePE und einem gewöhnlichen RAT?

Die Kernfunktion von RemotePE ist die reine Ausführung im Arbeitsspeicher (ohne Dateiablagung); in allen drei Ausführungsphasen wird kein Dateisystem berührt, sodass herkömmliche Antiviren-Software und forensische Tools, die auf Dateiscan basieren, schwer zu erkennen sind. Fox-IT-Analysten zufolge ist dieses Design darauf ausgelegt, für längere Zeit unbemerkt zu bleiben und Erkundungen durchzuführen, statt kurzfristig Schaden anzurichten.

Wie umgeht Stage 2 RemotePELoader EDR-Lösungen?

RemotePELoader nutzt Hell's Gate-Technik und ETW-Patches, um Endpunkt-Erkennung und -Reaktion (EDR) zu umgehen. Diese Techniken verändern die Systemereignisverfolgung und rufen Systemaufrufe direkt auf, um die API-Hooks der EDR zu umgehen.

Wie werden die gestohlenen Gelder der Lazarus Group nachverfolgt?

TRM Labs ist das führende Blockchain-Analyseunternehmen für die Nachverfolgung der Aktivitäten der Lazarus Group und bestätigt die Diebstahlstatistik von etwa 5,77 Milliarden US-Dollar in den ersten vier Monaten von 2026 sowie die seit 2017 kumulierten rund 60 Milliarden US-Dollar. Die genaue Nachverfolgungsmethode geht aus dem Originalbericht von TRM Labs hervor.