Lazarus menyebarkan Trojan tanpa dokumen RemotePE, menyerang industri kripto dan perbankan

Pada 26 Mei, Cryptopolitan melaporkan bahwa analis keamanan siber menemukan trojan akses jarak jauh (RAT) tanpa file baru bernama RemotePE, yang terkait dengan Lazarus Group yang berafiliasi Korea Utara. Lazarus Group memanfaatkan RemotePE untuk menyerang bank dan perusahaan kripto. RemotePE sepenuhnya berjalan di memori, tanpa menyentuh sistem file; perangkat antivirus dan alat forensik tradisional sangat sulit untuk mendeteksinya.

Rantai serangan tiga tahap RemotePE: mekanisme konfirmasi tanpa menyentuh sistem file

RemotePE menjalankan prosesnya melalui tiga tahap yang saling terhubung, seluruhnya tanpa menyentuh sistem file:

Tahap 1 - DPAPILoader: pustaka tautan dinamis (DLL, dengan nama file Iassvc.dll sejak November 2023), menggunakan Windows DPAPI untuk mendekripsi payload yang tersimpan di disk

Tahap 2 - RemotePELoader: membangun koneksi HTTP dengan server C2 dari aes-secure[.]net; menggunakan teknik Hell's Gate dan patch ETW untuk mengakali solusi EDR

Tahap 3 - RemotePE: payload utama diunduh dan dieksekusi di memori, tanpa pernah menyentuh sistem file

Sebuah perusahaan DeFi mengonfirmasi mengalami serangan beruntun dari tiga jenis RAT: RemotePE, PondRAT, dan ThemeForestRAT.

Teknik rekayasa sosial: menyamar sebagai karyawan perusahaan transaksi

Para penyerang menyamar sebagai karyawan perusahaan transaksi melalui Telegram, menggunakan Calendly dan Picktime palsu untuk mengatur pertemuan yang mengarah ke serangan rekayasa sosial; setelah mendapat persetujuan rapat, rantai instalasi malware tiga tahap diaktifkan. Fox-IT menyebutkan bahwa metode “intervensi manusia” seperti ini memungkinkan penyerang merancang umpan yang ditargetkan pada sasaran tertentu.

Pencurian statistik Lazarus Group 2026: konfirmasi data dari TRM Labs

TRM Labs mengonfirmasi bahwa Lazarus Group, dalam empat bulan pertama tahun 2026, hanya melalui dua peristiwa besar mencuri sekitar 577 juta dolar AS aset kripto, yang setara dengan 76% dari total pencurian kripto global tahun 2026. Proporsi serangan peretas yang terkait Korea Utara yang sebelumnya berada pada angka satu digit dari beberapa tahun terakhir, meningkat menjadi 64% pada 2025 dan 76% pada 2026; sejak 2017 total sekitar 6 miliar dolar AS telah dicuri, yang konon digunakan untuk pengembangan senjata dan program nuklir Korea Utara di bawah sanksi.

Pertanyaan yang sering diajukan

Apa perbedaan inti RemotePE dengan RAT biasa?

Ciri utama RemotePE adalah eksekusi murni di memori (tanpa penempatan file), ketiga tahap eksekusinya juga tidak menyentuh sistem file, sehingga perangkat antivirus berbasis pemindaian file dan alat forensik tradisional sulit mendeteksinya. Analis Fox-IT mencatat bahwa desain ini ditujukan untuk penyamaran jangka panjang guna melakukan pengintaian, bukan untuk kerusakan jangka pendek.

Bagaimana Stage 2 RemotePELoader mengakali solusi EDR?

RemotePELoader menggunakan teknik Hell's Gate dan patch ETW untuk mengakali deteksi dan respons di tingkat endpoint (EDR). Teknik ini memodifikasi mekanisme pelacakan peristiwa sistem dan memanggil langsung sistem call, sehingga menghindari pemantauan kaitan (API hook) milik EDR.

Bagaimana dana yang dicuri Lazarus Group ditelusuri?

TRM Labs adalah perusahaan analisis blockchain utama yang melacak aktivitas Lazarus Group di rantai, mengonfirmasi statistik pencurian sekitar 577 juta dolar AS untuk empat bulan pertama tahun 2026, serta catatan akumulasi sekitar 6 miliar dolar AS sejak 2017. Metode pelacakan spesifik mengacu pada laporan asli TRM Labs.