C
Security

RemotePE: Lazarus setzt filelose RAT gegen Finanzsektor ein

Nordkoreanische Hacker nutzen RemotePE, eine memory-only RAT, um Krypto-Unternehmen unbemerkt auszuspionieren. Die Malware hinterlässt kaum Spuren auf der Festplatte.

CR
Codekiste Redaktion25. Mai 2026
#Malware#Cybersecurity#Krypto#Lazarus#RemotePE

Wenn die Festplatte schweigt: Lazarus und die Ära der filelosen Bedrohungen

Die Bedrohungslage durch staatlich unterstützte Akteure erreicht eine neue Qualität. Wie Forscher des cybersecurity-Unternehmens Fox-IT (einer Tochter der NCC Group) jetzt aufgedeckt haben, setzt die nordkoreanische Lazarus-Gruppe eine hochentwickelte, plattformübergreifende Malware namens RemotePE ein. Das Ziel: Finanz- und Kryptowährungsunternehmen. Das Besondere? Die Malware existiert fast ausschließlich im Arbeitsspeicher der infizierten Systeme und hinterlässt so kaum forensische Spuren.

Der Mensch als Einfallstor

Auch die ausgefeilteste Technik braucht meist ein menschliches Versagen, um in ein System einzudringen. Im Falle von RemotePE begann die Infektionskette mit klassischem Social Engineering. Die Angreifer kontaktierten Mitarbeiter dezentraler Finanzunternehmen (DeFi) über Telegram. Dabei gaben sie sich als Mitarbeiter eines Handelsunternehmens aus und leiteten die Opfer auf gefälschte Calendly- und Picktime-Domains, wo sie angeblich ein Meeting vereinbaren sollten. Ein Klick auf den falschen Link genügte, um den ersten Schritt der Infektion auszulösen.

Eine dreistufige Rakete: Vom DPAPILoader zur RAT

Die Malware nutzt eine komplexe, mehrstufige Architektur, um die Verteidigungsmechanismen der Zielnetzwerke auszutricksen:

  1. Stufe 1 – DPAPILoader: Alles beginnt mit einer DLL-Datei ("Iassvc.dll"), die mindestens seit November 2023 im Umlauf ist. Dieser Loader nutzt einen genialen, weil tarnenden Trick: Er verwendet die Windows Data Protection API (DPAPI) – eine legitime Windows-Funktion zum Schutz von Benutzerdaten –, um den nächsten Stufen der Malware von der Festplatte zu entschlüsseln und in den Speicher zu laden. Die Malware macht sich also die Sicherheitsmechanismen des Betriebssystems selbst zunutze.

  2. Stufe 2 – RemotePELoader: Ist die erste Hürde genommen, kontaktiert der RemotePELoader einen Command-and-Control (C2) Server (unter anderem über die Domain "aes-secure[.]net"). Doch bevor er den finalen Payload herunterlädt, aktiviert er aggressive Evasion-Techniken. Mithilfe der Hell's Gate-Methode und durch das Patchen der Event Tracing for Windows (ETW) versucht der Loader, von EDR-Systemen (Endpoint Detection and Response) unentdeckt zu bleiben.

  3. Stufe 3 – RemotePE: Das ist der eigentliche Remote Access Trojaner (RAT), geschrieben in C++. Er wird direkt in den Arbeitsspeicher geladen und niemals auf die Festplatte geschrieben. Das bedeutet, dass herkömmliche Antiviren-Scanner, die das Dateisystem überwachen, hier völlig blind sind. RemotePE pollt den C2-Server und wartet auf Befehle.

Die Werkzeuge der stillen Auskundschaftung

RemotePE ist kein spontanes Zerstörungswerkzeug, sondern ein Instrument für die langfristige Observation. Die RAT bietet sechs Kategorien von Befehlen, die von der Manipulation der C2-Konfiguration über das Management von geladenen DLLs bis hin zur Steuerung von Prozessen (Erstellen, Beenden, Auflisten) reichen.

Besonders bemerkenswert ist der Befehl zum Löschen von Dateien: RemotePE überschreibt jede Datei siebenmal mit konstanten Bytes, bevor sie umbenannt und endgültig gelöscht wird. Ein Muster, das Sicherheitsforscher auch bei den Lazarus-Schwester-Malware-Familien PondRAT und POOLRAT (aka SIMPLESEA) gefunden haben. PondRAT gilt dabei als leichtgewichtige Variante von POOLRAT. Dieser extreme Aufwand beim Löschen zeigt, wie wichtig den Angreifern die Spurenvernichtung ist.

Analyse: Warum traditionelle Abwehrmaßnahmen scheitern

Die Entdeckung von RemotePE ist ein Weckruf für die Branche. Die Fox-IT-Analysten Yun Zheng Hu und Mick Koomen stellen klar fest, dass weder RemotePELoader noch RemotePE vor der Veröffentlichung auf VirusTotal zu finden waren. Eine Null-Erkennungsrate bei einer derart mächtigen Malware ist alarmierend.

Es zeigt ein grundlegendes Problem unserer Abwehrstrategien: Wir suchen nach Signaturen auf der Festplatte, während der Angreifer längst im Speicher agiert. Das Konzept des Actor-in-the-Loop – bei dem der Angreifer den Payload manuell und zielgerichtet aufs System bringt, statt ihn wahllos zu verbreiten – macht automatisierte Massenerkennungen obsolet. RemotePE wurde speziell für hochwertige Ziele (High-Value Targets) im Finanz- und Kryptosektor entwickelt. Die Kombination aus Environmental Keying (die Malware führt sich nur in der richtigen Zielumgebung aus), Memory-Only-Execution und EDR-Evasion macht sie zu einem nahezu perfekten Werkzeug für langfristige Spionagekampagnen, die in der Regel auf Datendiebstahl oder große finanzielle Raubzüge abzielen – die Handschrift der Lazarus-Gruppe.

Für Verteidiger bedeutet das: Der Fokus muss zwingend von der reinen Dateianalyse (Filesystem Artifacts) auf die Speicheranalyse (Memory Forensics) und die Überwachung von Netzwerkverbindungen (Beaconing) gelegt werden. Zudem zeigt der initiale Angriffsvektor, dass Schulungen zur Erkennung von Social Engineering – gerade im Krypto-Umfeld, wo Messenger wie Telegram zum Geschäftsalltag gehören – die wichtigste Verteidigungslinie bleiben.

Quelle: The Hacker News

QUELLEN
The Hacker News
Pro-Feature

Melde dich an und werde Pro-Mitglied, um dieses Feature zu nutzen.

Anmelden
CR
Codekiste Redaktion

Automatisierte Content-Kuratierung für tech-news.

Kommentare

WEITERLESEN
Security

ChatGPhish: Wenn ChatGPT selbst zur Phishing-Falle wird

Security

KI als Hacker: LLM-Agent nutzt Marimo-Lücke für Daten-Exfiltration

Security

KI als Tatwaffe: Wie GREYVIBE die Ukraine attackiert