Cybersecurity-onderzoekers hebben licht geworpen op een platformonafhankelijke malware genaamd PE op afstand die door de aan Noord-Korea gelieerde Lazarus Group is gebruikt bij aanvallen op financiële en cryptocurrency-organisaties.
RemotePE maakt, volgens Fox-IT, dochteronderneming van de NCC Group, deel uit van een meerfasige aanvalsketen waarbij twee laders betrokken zijn die worden bijgehouden als DPAPILoader en RemotePELoader.
“DPAPILoader decodeert en laadt RemotePELoader vanaf schijf met behulp van de Windows Data Protection API (DPAPI)”, aldus beveiligingsonderzoekers Yun Zheng Hu en Mick Koomen. “RemotePELoader bakens naar een C2-server en wacht tot deze de volgende fase ontvangt: RemotePE, een RAT die volledig in het geheugen wordt uitgevoerd en nooit naar schijf wordt geschreven, waardoor er geen bestandssysteemartefacten achterblijven.”
RemotePE werd voor het eerst onder de aandacht gebracht door de beveiligingsleverancier in september 2025 in verband met een aanval gericht op een naamloze organisatie in de gedecentraliseerde financiële sector (DeFi), wat leidde tot de inzet van drie malwarefamilies, waaronder PondRAT, ThemeForestRAT en RemotePE.
De inbraak begon met het compromitteren van het apparaat van een medewerker via social engineering, nadat hij het slachtoffer op Telegram had benaderd onder het mom van een bestaande medewerker van een handelsbedrijf en een vergadering had gepland op valse Calendly- en Picktime-domeinen.
De RemotePE-infectiereeks doorloopt drie fasen, waarbij de DPAPILoader DLL (“Iassvc.dll”) verantwoordelijk is voor het decoderen en laden van een gecodeerde payload vanaf schijf met behulp van DPAPI. Het vroegste DPAPILoader-artefact dateert uit november 2023.
De gedecodeerde payload is een andere lader, RemotePELoader, die is ontworpen om via HTTP contact te maken met een externe server (“aes-secure(.)net”), de kernmodule op te halen en deze in het geheugen uit te voeren, maar niet voordat stappen zijn ondernomen om detectie te omzeilen met behulp van technieken als Hell’s Gate en het patchen van Event Tracing for Windows (ETW).
De laatste fase is een volwaardige trojan voor externe toegang, genaamd RemotePE, die is geschreven in C++ en een command-and-control (C2)-server opvraagt voor verdere instructies. De malware ondersteunt zes categorieën opdrachten, waardoor het:
- Verkrijg of wijzig de C2-configuratie
- Haal of wijzig de huidige werkmap, registreer een nieuwe DLL-module, haal geladen DLL’s op en verwijder een DLL
- Voer bestandsbewerkingen uit
- Krijg een lijst met actieve processen, maak een nieuw proces of beëindig het proces op basis van ID
- Slaap gedurende een vooraf bepaald interval of sluit RemotePE af
- Ping de server
Een opmerkelijk aspect van de opdracht voor het verwijderen van bestanden is dat het elk bestand zeven keer met constante bytes overschrijft voordat het wordt hernoemd en verwijderd, een patroon dat ook wordt waargenomen in PondRAT en POOLRAT (ook bekend als SIMPLESEA). PondRAT wordt beoordeeld als een lichtgewicht versie van POOLRAT.
Fox-IT zei dat het vier RemotePE-monsters heeft verkregen die erop wijzen dat de RAT tussen medio 2023 en medio 2024 in actieve ontwikkeling was. De eerste versie heeft een tijdstempel van 4 juli 2023.
“De omgevingssleuteling, de uitvoering van alleen geheugen, de EDR-ontduiking en de lage forensische voetafdruk van de toolset suggereren dat deze speciaal is gebouwd voor observatiecampagnes op de lange termijn”, aldus de onderzoekers. “Hierdoor kan de acteur stilletjes toegang behouden gedurende een langere periode voordat hij overgaat tot een einddoel met grote impact, zoals gegevensdiefstal of een grootschalige financiële overval, in overeenstemming met de bekende geschiedenis van deze acteur.”
“Het actor-in-the-loop leveringsmodel en het lage detectiepercentage van de toolset (noch RemotePELoader noch RemotePE verschenen vóór deze publicatie op VirusTotal) suggereren dat deze toolset gereserveerd kan zijn voor hoogwaardige doelen waar langdurige, heimelijke toegang het doel is, consistent met de bekende focus van deze Lazarus-subgroep op financiële en cryptocurrency-organisaties.”
