Операторов Lazarus, связанных с КНДР, связали с кроссплатформенным трояном удаленного доступа RemotePE. Его применяли в атаках на финансовые и криптовалютные организации. Важен не только профиль жертв, но и схема работы: социнженерия для попадания на устройство сотрудника, поэтапные загрузчики, выполнение только в памяти, обход EDR и малый объем криминалистических следов.
Такой набор больше похож на инструмент для долгого наблюдения, а не на вредонос «вломился и забрал». Сначала доступ. Потом терпение.
Что, по данным Fox-IT, развернул Lazarus#
Материал основан на исследовании Fox-IT, дочерней компании NCC Group, о котором написал The Hacker News. Fox-IT связывает RemotePE с многоэтапной цепочкой атаки, где используются два загрузчика: DPAPILoader и RemotePELoader.
Последовательность выстроена аккуратно. DPAPILoader расшифровывает и загружает RemotePELoader с диска через Windows Data Protection API, или DPAPI. Затем RemotePELoader связывается с инфраструктурой управления и ждет следующий этап. Этим этапом становится RemotePE — RAT, который выполняется полностью в памяти и не записывается на диск.
Это важно, потому что защитники часто опираются на файловые артефакты, чтобы восстановить, что запускалось, куда попало и как закрепилось. Пейлоад только в памяти не делает вторжение невидимым, но убирает один из самых удобных путей расследования. Приходится сильнее полагаться на телеметрию, сетевые следы, поведение процессов, дампы памяти и восстановление хронологии.
Fox-IT сообщает, что видела этот набор инструментов в сентябре 2025 года во время атаки на неназванную организацию из сектора DeFi. По данным отчета, вторжение началось с социнженерии против сотрудника. Атакующий связался с жертвой в Telegram, выдавая себя за действующего сотрудника трейдинговой компании, а затем перевел цель на поддельные домены Calendly и Picktime для назначения встречи.
История первоначального доступа знакомая, потому что она работает. Криптовалютные и финансовые компании часто усиливают облачную и кошельковую инфраструктуру, но оставляют уязвимыми рабочие процессы доверия: чаты, встречи, рекрутинговые контакты, знакомства через поставщиков и календарные ссылки. Lazarus снова и снова использует этот разрыв.
Цепочка атаки снижает количество следов#
У заражения RemotePE три основных этапа.
Сначала DPAPILoader появляется как DLL с именем “Iassvc.dll” и расшифровывает зашифрованный пейлоад с диска через DPAPI. Fox-IT пишет, что самый ранний артефакт DPAPILoader датируется ноябрем 2023 года.
Затем расшифрованный RemotePELoader обращается по HTTP к удаленному серверу, который в отчете указан как “aes-secure[.]net.” Его задача — получить основной модуль и выполнить его в памяти. Перед этим он применяет техники уклонения, включая патчинг ETW. Event Tracing for Windows — один из источников телеметрии, который защитники используют для наблюдения за подозрительным поведением. Патчинг ETW не дает волшебной невидимости, но ясно показывает приоритеты оператора.
На третьем этапе финальный пейлоад RemotePE запускается как C++ RAT. Он опрашивает свой сервер управления на предмет инструкций и поддерживает категории команд, включая изменение C2-конфигурации, смену рабочей директории, регистрацию и выгрузку DLL-модулей, просмотр и управление процессами, режимы sleep и exit, а также операции с файлами.
Одна функция удаления файлов особенно заметна. Команда семь раз перезаписывает каждый файл постоянными байтами, затем переименовывает и удаляет его. Fox-IT отмечает, что такой же паттерн наблюдался в PondRAT и POOLRAT, также известном как SIMPLESEA. RemotePE оценивают как облегченную версию POOLRAT.
Само по себе это совпадение не доказывает все операционные связи, которые читатель мог бы предположить. Но это значимый признак техники работы. Общие паттерны удаления, связанные загрузчики и выбор жертв помогают аналитикам сопоставлять семейства инструментов и привычки операторов, не делая вид, что один артефакт объясняет всю картину.
Почему RemotePE в памяти — серьезный сигнал#
Очевидный ответ — обнаружение. RAT, который не появляется как файл финального этапа, сложнее поймать базовым файловым сканированием и сложнее анализировать постфактум. Но более важный ответ — время присутствия в среде.
Оценка Fox-IT такова: привязка к окружению, выполнение только в памяти, обход EDR и малый криминалистический след указывают на набор инструментов, созданный для долгосрочных кампаний наблюдения. Это правильное прочтение техники. RemotePE не выглядит оптимизированным для шумного массового развертывания. Он больше подходит для выбранных целей, где сам доступ уже ценен.
Для финансовых и криптовалютных организаций риск не сводится к немедленной краже данных. Долгий доступ позволяет злоумышленнику наблюдать внутренние процессы, выявлять цепочки согласований, изучать операции с кошельками, смотреть на инженерные системы и ждать более выгодного момента. В этом секторе финальной целью может быть кража, но подготовительный этап способен выглядеть как тихая административная активность, если среда плохо инструментирована.
Деталь с VirusTotal поддерживает такое чтение. По данным Fox-IT, ни RemotePELoader, ни RemotePE не появлялись на VirusTotal до публикации. Это не доказывает, что вредонос был редким везде. Но это говорит о том, что образцы не были массово «сожжены» в публичных сканирующих пайплайнах, что согласуется с доставкой вручную по ценным целям.
Fox-IT получила четыре образца RemotePE и пишет, что они указывают на активную разработку между серединой 2023 и серединой 2024 года. Первая версия, по отчету, имеет timestamp компиляции 4 июля 2023 года. Timestamp компиляции можно подделать, поэтому его нельзя считать идеальной хронологией. Но вместе с историей артефактов и наблюдаемым применением эта линия времени поддерживает вывод: набор инструментов созрел до DeFi-вторжения 2025 года, описанного в отчете.
Что стоит проверить защитникам#
Первый практический вывод: календарные и мессенджерные процессы — часть поверхности атаки. Описанное вторжение началось вне endpoint: контакт в Telegram, имперсонация, поддельные домены для планирования встречи, затем компрометация устройства. Командам безопасности в крипто- и финсекторе стоит воспринимать «назначение встречи» как реальный путь вторжения, а не как мягкую тему для awareness.
Полезные проверки:
- Просмотрите телеметрию на предмет соединений с подозрительными доменами, похожими на сервисы планирования встреч, особенно имитирующими рабочие процессы Calendly или Picktime.
- Расследуйте необычные паттерны загрузки DLL, особенно вокруг файлов, маскирующихся под легитимные DLL служб Windows.
- Ищите процессы, которые патчат ETW или вмешиваются в другие локальные источники телеметрии.
- Коррелируйте HTTP-маяки с родословной процессов, а не только с репутацией домена.
- Подготовьте планы реагирования с учетом того, что финальные пейлоады могут жить в памяти и отсутствовать на диске.
Второй вывод: endpoint-контроли нужно проверять против поэтапной загрузки, а не только по известным именам вредоносов. Использование DPAPI легитимно в средах Windows. HTTP callback встречается часто. Загрузка DLL встречается часто. Ценность для обнаружения дает цепочка: откуда пришла DLL, что было расшифровано, какой процесс это загрузил, какая телеметрия изменилась и какое сетевое поведение последовало.
Третий вывод — дисциплина в оценке масштаба. Не стоит утверждать на основе этого отчета, что каждая финансовая или криптовалютная компания видит RemotePE, или что RemotePE — единственный инструмент Lazarus в работе. Более точная и сильная формулировка уже: Fox-IT задокументировала связанную с Lazarus цепочку инструментов, применявшуюся против финансовых и криптовалютных целей, где скрытный доступ и минимум артефактов, судя по всему, были центральными элементами операции.
Стратегический смысл#
RemotePE хорошо ложится в более широкий почерк Lazarus: точечная социнженерия, адаптированный вредоносный код и финансовые цели. Примечательна не новизна сама по себе, а совпадение техники с задачей.
RAT, работающий только в памяти, с поэтапными загрузчиками и поведением, уменьшающим следы, обходится дороже товарного вредоноса. Операторы обычно тратят такие ресурсы на цели, ради которых стоит ждать. В крипто- и финсекторе защитникам нужно искать не столько один громкий exploit, сколько тихую цепочку мелких провалов доверия: убедительное сообщение, ссылка на встречу, загрузчик, маяк, затем недели терпеливого доступа.
В этом и практическая ценность отчета. Он напоминает: первая видимая компрометация не обязательно была первым значимым провалом. Атакующий мог уже изучить человеческий рабочий процесс до запуска любого вредоноса.