Puntos clave de la noticia:
- Lazarus está desplegando RemotePE, un RAT sin archivos que se ejecuta en memoria y apunta a empresas cripto, bancos y firmas fintech mediante ingeniería social.
- Los atacantes se hacen pasar por empleados de firmas de trading en Telegram, usan herramientas falsas de agenda y llevan a las víctimas hacia una infección preparada.
- RemotePE usa DPAPI, ejecución en memoria, Hell’s Gate y parcheo de ETW, mientras hackers vinculados a Corea del Norte concentraron $577M en robos cripto a comienzos de 2026.
Lazarus Group, vinculado a Corea del Norte, vuelve a aparecer con un manual de ciberataque inquietante, esta vez centrado en RemotePE, un troyano de acceso remoto sin archivos dirigido a empresas cripto, bancos y firmas fintech. La campaña llama la atención porque el malware se ejecuta completamente en memoria, dejando pocos rastros forenses para las herramientas convencionales. El cambio más preocupante es el sigilo del ataque, no solo su lista de objetivos, ya que los operadores combinan ingeniería social con malware diseñado para permanecer oculto el tiempo suficiente como para estudiar a las víctimas antes de avanzar dentro de sistemas financieros de alto valor.
🚨 Lazarus deployed a new memory-only RAT against crypto and financial organizations.https://t.co/45TsNCFCOx
The RemotePE malware executes entirely in memory with no filesystem artifacts, using DPAPI loaders, ETW patching, and Hell’s Gate techniques to evade detection and… pic.twitter.com/wcqbZbFVCA
— The Hacker News (@TheHackersNews) May 25, 2026
Surge un modelo de intrusión más silencioso
La ruta de intrusión empieza menos como una brecha cinematográfica y más como una interacción empresarial rutinaria. Los operadores de Lazarus se hacen pasar por empleados de firmas de trading en Telegram, luego usan versiones falsas de Calendly y Picktime para coordinar reuniones y hacer que el señuelo parezca normal. Una vez que el objetivo aprueba una reunión, se instala el primer componente malicioso y la cadena comienza a avanzar. El enfoque con intervención humana da credibilidad a los atacantes, porque la víctima no solo hace clic en un archivo aleatorio, sino que responde a un intercambio profesional cuidadosamente montado.
La mecánica de RemotePE explica por qué la campaña es difícil de contener. La cadena comienza con DPAPILoader, una DLL también conocida como Iassvc.dll desde noviembre de 2023, que usa Windows DPAPI para descifrar una carga almacenada en disco. Esa carga pasa a RemotePELoader, que se conecta a aes-secure[.]net, descarga la etapa final y la ejecuta en memoria. RemotePE no toca el sistema de archivos en su etapa principal, mientras técnicas como Hell’s Gate y el parcheo de ETW se utilizan para evadir defensas EDR, reduciendo la evidencia disponible para los equipos de respuesta durante la investigación inicial.
El contexto financiero hace que la campaña sea aún más difícil de tratar como una actividad aislada de malware. En un incidente reportado, la infraestructura de una firma DeFi fue comprometida por RemotePE, PondRAT y ThemeForestRAT, que se fueron reemplazando entre sí con el tiempo. Los analistas también vincularon el diseño con reconocimiento prolongado antes de un ataque. El riesgo estratégico es una extracción financiera acumulativa, con hackers vinculados a Corea del Norte atribuidos a cerca de $577M en robos cripto durante los primeros cuatro meses de 2026, el 76% de los robos globales de criptomonedas, y alrededor de $6B sustraídos desde 2017.
