Lazarus implementa um cavalo de Troia sem ficheiros RemotePE, atacando a indústria cripto e os bancos

De acordo com a Cryptopolitan, a 26 de maio, analistas de cibersegurança descobriram um novo trojan de acesso remoto (RAT) sem ficheiros chamado RemotePE, associado ao grupo Lazarus, ligado à Coreia do Norte. O Lazarus Group está a utilizá-lo em ataques contra bancos e empresas de criptomoedas. O RemotePE é executado totalmente na memória, sem tocar no sistema de ficheiros; por isso, as ferramentas tradicionais de antivírus e de perícia têm dificuldade extrema em detetar.

Cadeia de ataque em três fases do RemotePE: mecanismo de verificação sem contacto com o sistema de ficheiros

O RemotePE executa-se através de três fases sequenciais, todo o processo sem contacto com o sistema de ficheiros:

Fase 1 - DPAPILoader: biblioteca de ligação dinâmica (DLL, com o nome do ficheiro também Iassvc.dll desde novembro de 2023), usando o Windows DPAPI para descodificar a carga útil no disco

Fase 2 - RemotePELoader: estabelece ligações HTTP com o servidor C2 da aes-secure[.]net; usa a técnica Hell's Gate e patches de ETW para contornar soluções de EDR

Fase 3 - RemotePE: a carga útil principal é descarregada e executada na memória, sem nunca tocar no sistema de ficheiros

Uma empresa DeFi confirmou ter sido alvo de ataques consecutivos com três tipos de RAT: RemotePE, PondRAT e ThemeForestRAT.

Técnicas de engenharia social: disfarce como funcionários de uma empresa de transações

Os atacantes fazem-se passar por funcionários de uma empresa de transações via Telegram, usando Calendly e Picktime falsificados para agendar reuniões e iniciar ataques de engenharia social; após obterem a aprovação da reunião, desencadeiam a cadeia de instalação do malware em três fases. A Fox-IT aponta que este método de “intervenção humana” permite aos atacantes criar iscos eficazes especificamente adaptados ao alvo.

Roubo de estatísticas do Lazarus Group em 2026: TRM Labs confirma dados

A TRM Labs confirmou que o Lazarus Group, apenas nos quatro primeiros meses de 2026, roubou cerca de 577 milhões de dólares em ativos criptográficos através de apenas dois incidentes relevantes, o que representa 76% do total global de roubos de cripto em 2026. A percentagem de ataques de hackers ligados à Coreia do Norte, que antes ficava em dígitos unitários nos anos anteriores, subiu para 64% em 2025 e 76% em 2026; desde 2017, com um total acumulado de cerca de 6 mil milhões de dólares roubados, estima-se que esses fundos tenham sido usados para o desenvolvimento de armas e de tecnologia nuclear da Coreia do Norte sob sanções.

Perguntas frequentes

Qual é a principal diferença entre o RemotePE e um RAT comum?

A caraterística central do RemotePE é a execução apenas na memória (sem “landing” de ficheiros): as três fases de execução não contactam o sistema de ficheiros, tornando difíceis de detetar os antivírus e as ferramentas de perícia tradicionais baseadas na verificação de ficheiros. Os analistas da Fox-IT referem que este desenho visa permitir uma presença prolongada para reconhecimento, e não destruição a curto prazo.

Como é que a Fase 2 RemotePELoader contorna as soluções de EDR?

O RemotePELoader utiliza a técnica Hell's Gate e patches de ETW para contornar soluções de deteção e resposta em endpoints (EDR). Estas técnicas, ao modificar mecanismos de seguimento de eventos do sistema e ao invocar diretamente chamadas ao sistema, evitam o monitorização por hooks das APIs do EDR.

Como é que os fundos roubados pelo Lazarus Group são rastreados?

A TRM Labs é a principal empresa de análise de blockchain que acompanha as atividades do Lazarus Group na cadeia, confirmando as estatísticas de roubos de cerca de 577 milhões de dólares nos quatro primeiros meses de 2026 e os registos de cerca de 6 mil milhões de dólares acumulados desde 2017. O método específico de rastreio depende do relatório original da TRM Labs.