El grupo Lazarus de Corea del Norte recurre al malware sin archivos en nuevos ataques cripto

Los analistas de ciberseguridad han descubierto un nuevo troyano de acceso remoto (RAT) sin archivos, denominado RemotePE. Está siendo utilizado por el Grupo Lazarus, un grupo de ciberdelincuentes que se cree está asociado con Corea del Norte, para atacar bancos y empresas de criptomonedas.

Según un análisis reciente, este malware funciona completamente en memoria, lo que hace casi imposible dejar rastros en los sistemas informáticos afectados.

El Grupo Lazarus recurre a la ingeniería social para defraudar a los inversores

El Grupo Lazarus inicia el hackeo mediante técnicas de ingeniería social. Se hacen pasar por empleados de empresas de trading a través de Telegram. Para ello, los actores utilizan copias falsas de Calendly y Picktime, ampliamente utilizadas para programar reuniones.

Tras obtener la aprobación para una reunión, la cadena de eventos continúa hasta que se instala el primer malware. Este método de "humano en el bucle" permite a los operadores de Lazarus desarrollar señuelos efectivos.

El malware opera a través de una cadena de tres etapas bien coordinada que busca reducir las operaciones en disco. La primera es DPAPILoader. Se trata de una biblioteca de vínculos dinámicos (DLL), también conocida por su nombre de archivo Iassvc.dll desde noviembre de 2023.

El programa utiliza la Interfaz de Programación de Aplicaciones de Protección de Datos de Windows (DPAPI) para desencriptación de un payload almacenado en disco.

El payload desencriptado se pasa luego a RemotePELoader, que crea una conexión HTTP al C2 en aes-secure[.]net. Después de esto, descarga y ejecuta la última etapa de RemotePE en memoria.

Para eludir las soluciones EDR, RemotePELoader utiliza las técnicas Hell's Gate y ETW Patching para evadir la detección.

Finalmente, el payload principal del RAT RemotePE nunca entra en contacto con el sistema de archivos, manteniendo una baja visibilidad forense a lo largo de toda la cadena de ataque. Este malware fue descubierto por primera vez en septiembre de 2025.

En el incidente reportado, una empresa de DeFi tuvo su infraestructura comprometida por tres RATs diferentes —RemotePE, PondRAT y ThemeForestRAT— que eventualmente se reemplazaron entre sí.

La tecnología avanzada y la IA se convierten en la peor pesadilla de los traders

Antes, los inversores en criptos recurrían a la IA y la tecnología para optimizar el trading. Ahora, las mismas herramientas han caído en manos de los hackers, causándoles enormes pérdidas financieras.

El cifrado ambiental por DPAPI, la ejecución solo en memoria, el ETW patching y Hell's Gate hacen que RemotePE sea casi imposible de detectar con métodos tradicionales. Los analistas de Fox-IT, filial de NCC Group, han señalado que estas características sugieren que el malware está diseñado para mantenerse a largo plazo y llevar a cabo reconocimiento antes de lanzar un ataque, a diferencia de los típicos ataques de malware disruptivos.

El Grupo Lazarus ya ha robado alrededor de 577 millones de dólares en criptos en los primeros cuatro meses de 2026. Esto representa el 76% de todos los robos de criptomonedas en todo el mundo, a pesar de solo dos incidentes de hackeo importantes, según la firma de análisis blockchain TRM Labs.

El porcentaje de hackeos de criptos atribuibles a Corea del Norte ha aumentado drásticamente. De cifras de un solo dígito en años anteriores al 64% en 2025 y al 76% en 2026. Su récord de cantidad robada asciende ahora a 6.000 millones de dólares desde 2017. Se alega que estos fondos financian los programas de armas y desarrollo nuclear del país en medio de sanciones.

Los hackers recurren a la IA para desestabilizar a los desarrolladores detrás de las principales entidades tecnológicas

Los expertos en ciberseguridad han descubierto un ataque a gran escala en el que los hackers atacaron más de 700 sitios que ejecutan el Sistema de Gestión de Contenidos Ghost, explotando una falla crítica de inyección SQL. Los ciberataques dieron a los atacantes acceso a los nombres de usuario y contraseñas de las cuentas de administrador, permitiéndoles inyectar malware mediante redirecciones de JavaScript en sus canales de distribución de ClickFix.

Las plataformas atacadas incluyen instituciones académicas, iniciativas de IA, servicios de blockchain, proveedores de software como servicio, fuentes de investigación en ciberseguridad, agencias de noticias y empresas fintech.

A las víctimas que se encuentran con el CAPTCHA falso se les pide que ingresen una cadena codificada en Base64 en el cuadro de diálogo Ejecutar. En este paso, pueden descargar un archivo ZIP que contiene un script batch. Este script batch luego ejecuta un comando de PowerShell que obtendrá una DLL firmada o archivos JavaScript desde un servidor remoto.

Las versiones anteriores del malware ejecutaban una DLL usando rundll32.exe. Sin embargo, las versiones recientes instalan un instalador Inno Setup para una versión de código abierto de la aplicación Electron llamada Grape. Una vez instalado, el malware se vuelve persistente y consulta el dominio C2 web-telegram[.]ug cada 30 segundos.

Las mentes más brillantes del mundo cripto ya leen nuestro boletín. ¿Quieres unirte? Únete a ellos.