{"id":155061,"date":"2026-05-25T20:43:12","date_gmt":"2026-05-25T20:43:12","guid":{"rendered":"https:\/\/crypto-economy.com\/es\/?p=155061"},"modified":"2026-05-25T20:43:16","modified_gmt":"2026-05-25T20:43:16","slug":"lazarus-group-de-corea-del-norte-usa-malware","status":"publish","type":"post","link":"https:\/\/crypto-economy.com\/es\/lazarus-group-de-corea-del-norte-usa-malware\/","title":{"rendered":"Lazarus Group de Corea del Norte usa malware sin archivos contra cripto y bancos"},"content":{"rendered":"<p style=\"text-align: justify\" data-start=\"3005\" data-end=\"3032\">Puntos clave de la noticia:<\/p>\n<ul style=\"text-align: justify\" data-start=\"3033\" data-end=\"3540\" data-is-last-node=\"\" data-is-only-node=\"\">\n<li data-section-id=\"n2ooux\" data-start=\"3033\" data-end=\"3195\">Lazarus est\u00e1 desplegando RemotePE, un RAT sin archivos que se ejecuta en memoria y apunta a empresas cripto, bancos y firmas fintech mediante ingenier\u00eda social.<\/li>\n<li data-section-id=\"kho2tr\" data-start=\"3196\" data-end=\"3364\">Los atacantes se hacen pasar por empleados de firmas de trading en Telegram, usan herramientas falsas de agenda y llevan a las v\u00edctimas hacia una infecci\u00f3n preparada.<\/li>\n<li data-section-id=\"c2r0ry\" data-start=\"3365\" data-end=\"3540\" data-is-last-node=\"\">RemotePE usa DPAPI, ejecuci\u00f3n en memoria, Hell\u2019s Gate y parcheo de ETW, mientras hackers vinculados a Corea del Norte concentraron $577M en robos cripto a comienzos de 2026.<\/li>\n<\/ul>\n<hr \/>\n<p style=\"text-align: justify\" data-start=\"347\" data-end=\"1025\">Lazarus Group, vinculado a <a href=\"https:\/\/crypto-economy.com\/es\/robo-de-criptomonedas-por-hackers-de-corea-del-norte-aumento-51-en-2025-informe\/\" target=\"_blank\" rel=\"noopener\">Corea del Norte<\/a>, vuelve a aparecer con un <a href=\"https:\/\/x.com\/TheHackersNews\/status\/2058846836560130475\" target=\"_blank\" rel=\"noopener\">manual de ciberataque inquietante<\/a>, esta vez centrado en RemotePE, un troyano de acceso remoto sin archivos dirigido a empresas <a href=\"https:\/\/crypto-economy.com\/es\/monedas-virtuales\/\" target=\"_blank\" rel=\"noopener\">cripto<\/a>, bancos y firmas fintech. La campa\u00f1a llama la atenci\u00f3n porque el malware se ejecuta completamente en memoria, dejando pocos rastros forenses para las herramientas convencionales. <strong data-start=\"729\" data-end=\"782\">El cambio m\u00e1s preocupante es el sigilo del ataque<\/strong>, no solo su lista de objetivos, ya que los operadores combinan ingenier\u00eda social con malware dise\u00f1ado para permanecer oculto el tiempo suficiente como para estudiar a las v\u00edctimas antes de avanzar dentro de sistemas financieros de alto valor.<\/p>\n<p style=\"text-align: justify\" data-start=\"347\" data-end=\"1025\"><!--more--><\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"550\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">\ud83d\udea8 Lazarus deployed a new memory-only RAT against crypto and financial organizations.<a href=\"https:\/\/t.co\/45TsNCFCOx\">https:\/\/t.co\/45TsNCFCOx<\/a><\/p>\n<p>The RemotePE malware executes entirely in memory with no filesystem artifacts, using DPAPI loaders, ETW patching, and Hell\u2019s Gate techniques to evade detection and\u2026 <a href=\"https:\/\/t.co\/wcqbZbFVCA\">pic.twitter.com\/wcqbZbFVCA<\/a><\/p>\n<p>&mdash; The Hacker News (@TheHackersNews) <a href=\"https:\/\/twitter.com\/TheHackersNews\/status\/2058846836560130475?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener\">May 25, 2026<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<h2 style=\"text-align: left\" data-section-id=\"1s368ox\" data-start=\"1027\" data-end=\"1073\">Surge un modelo de intrusi\u00f3n m\u00e1s silencioso<\/h2>\n<p style=\"text-align: justify\" data-start=\"1075\" data-end=\"1718\">La ruta de intrusi\u00f3n empieza menos como una brecha cinematogr\u00e1fica y m\u00e1s como una interacci\u00f3n empresarial rutinaria. Los operadores de <a href=\"https:\/\/crypto-economy.com\/es\/investigadores-nueva-campana-de-malware\/\" target=\"_blank\" rel=\"noopener\">Lazarus<\/a> se hacen pasar por empleados de firmas de trading en Telegram, luego usan versiones falsas de Calendly y Picktime para coordinar reuniones y hacer que el se\u00f1uelo parezca normal. Una vez que el objetivo aprueba una reuni\u00f3n, se instala el primer componente malicioso y la cadena comienza a avanzar. <strong data-start=\"1515\" data-end=\"1585\">El enfoque con intervenci\u00f3n humana da credibilidad a los atacantes<\/strong>, porque la v\u00edctima no solo hace clic en un archivo aleatorio, sino que responde a un intercambio profesional cuidadosamente montado.<\/p>\n<p data-start=\"1075\" data-end=\"1718\"><img fetchpriority=\"high\" decoding=\"async\" class=\"alignnone wp-image-155065 size-full\" src=\"https:\/\/crypto-economy.com\/es\/\/wp-content\/uploads\/sites\/4\/2026\/05\/Lazarus-Group-Deploys-Fileless-Malware.jpg\" alt=\"\" width=\"1024\" height=\"300\" srcset=\"https:\/\/crypto-economy.com\/es\/\/wp-content\/uploads\/sites\/4\/2026\/05\/Lazarus-Group-Deploys-Fileless-Malware.jpg 1024w, https:\/\/crypto-economy.com\/es\/\/wp-content\/uploads\/sites\/4\/2026\/05\/Lazarus-Group-Deploys-Fileless-Malware-300x88.jpg 300w, https:\/\/crypto-economy.com\/es\/\/wp-content\/uploads\/sites\/4\/2026\/05\/Lazarus-Group-Deploys-Fileless-Malware-768x225.jpg 768w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p style=\"text-align: justify\" data-start=\"1720\" data-end=\"2340\">La mec\u00e1nica de RemotePE explica por qu\u00e9 la campa\u00f1a es dif\u00edcil de contener. La cadena comienza con DPAPILoader, una DLL tambi\u00e9n conocida como Iassvc.dll desde noviembre de 2023, que usa Windows DPAPI para descifrar una carga almacenada en disco. Esa carga pasa a RemotePELoader, que se conecta a aes-secure[.]net, descarga la etapa final y la ejecuta en memoria. <strong data-start=\"2082\" data-end=\"2147\">RemotePE no toca el sistema de archivos en su etapa principal<\/strong>, mientras t\u00e9cnicas como Hell\u2019s Gate y el parcheo de ETW se utilizan para evadir defensas EDR, reduciendo la evidencia disponible para los equipos de respuesta durante la investigaci\u00f3n inicial.<\/p>\n<p style=\"text-align: justify\" data-start=\"2342\" data-end=\"3003\">El contexto financiero hace que la campa\u00f1a sea a\u00fan m\u00e1s dif\u00edcil de tratar como una actividad aislada de malware. En un incidente reportado, la infraestructura de una firma <a href=\"https:\/\/crypto-economy.com\/es\/defi-finanzas-descentralizadas\/\" target=\"_blank\" rel=\"noopener\">DeFi<\/a> fue comprometida por RemotePE, PondRAT y ThemeForestRAT, que se fueron reemplazando entre s\u00ed con el tiempo. Los analistas tambi\u00e9n vincularon el dise\u00f1o con reconocimiento prolongado antes de un ataque. <strong data-start=\"2719\" data-end=\"2785\">El riesgo estrat\u00e9gico es una extracci\u00f3n financiera acumulativa<\/strong>, con hackers vinculados a Corea del Norte atribuidos a cerca de $577M en robos cripto durante los primeros cuatro meses de 2026, el 76% de los robos globales de criptomonedas, y alrededor de $6B sustra\u00eddos desde 2017.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Puntos clave de la noticia: Lazarus est\u00e1 desplegando RemotePE, un RAT sin archivos que se ejecuta en memoria y apunta a empresas cripto, bancos y firmas fintech mediante ingenier\u00eda social. Los atacantes se hacen pasar por empleados de firmas de trading en Telegram, usan herramientas falsas de agenda y llevan a las v\u00edctimas hacia una &#8230; <\/p>\n<p class=\"read-more-container\"><a title=\"Lazarus Group de Corea del Norte usa malware sin archivos contra cripto y bancos\" class=\"read-more button\" href=\"https:\/\/crypto-economy.com\/es\/lazarus-group-de-corea-del-norte-usa-malware\/#more-155061\" aria-label=\"Leer m\u00e1s sobre Lazarus Group de Corea del Norte usa malware sin archivos contra cripto y bancos\">Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":50,"featured_media":155066,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"rank_math_title":"","rank_math_description":"La campa\u00f1a RemotePE de Lazarus apunta a cripto, bancos y fintechs con malware sin archivos dise\u00f1ado para sigilo y persistencia.","footnotes":""},"categories":[971,926],"tags":[494,6296],"class_list":["post-155061","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-criptomonedas","tag-corea-del-norte","tag-lazarus-group"],"_links":{"self":[{"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/posts\/155061","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/comments?post=155061"}],"version-history":[{"count":2,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/posts\/155061\/revisions"}],"predecessor-version":[{"id":155068,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/posts\/155061\/revisions\/155068"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/media\/155066"}],"wp:attachment":[{"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/media?parent=155061"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/categories?post=155061"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/tags?post=155061"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}