Der Angriff begann mit der Kompromittierung des Geräts eines Mitarbeiters über Social Engineering. Die Täter näherten sich dem Opfer über Telegram unter dem Vorwand, ein bestehender Mitarbeiter eines Handelsunternehmens zu sein, und vereinbarten ein Treffen über gefälschte Calendly- und Picktime-Domains.
Die Infektionskette von RemotePE verläuft in drei Stufen. Zunächst entschlüsselt und lädt die DPAPILoader-DLL („Iassvc.dll") eine verschlüsselte Nutzlast von der Festplatte mithilfe von DPAPI. Das früheste bekannte DPAPILoader-Artefakt stammt aus dem November 2023.
Bei der entschlüsselten Nutzlast handelt es sich um einen weiteren Loader, den RemotePELoader. Dieser kontaktiert einen entfernten Server („aes-secure[.]net") über HTTP, lädt das Kernmodul herunter und führt es im Arbeitsspeicher aus. Zuvor ergreift er Maßnahmen zur Tarnung, etwa mit Techniken wie Hell’s Gate und dem Patchen von Event Tracing for Windows (ETW).
Die letzte Stufe ist ein vollwertiger Remote-Access-Trojaner namens RemotePE, geschrieben in C++, der einen Command-and-Control-Server nach weiteren Anweisungen abfragt. Die Schadsoftware unterstützt sechs Kategorien von Befehlen. Bemerkenswert ist der Befehl zum Löschen von Dateien: Er überschreibt jede Datei siebenmal mit konstanten Bytes, bevor er sie umbenennt und entfernt – ein Muster, das auch in PondRAT und POOLRAT (auch bekannt als SIMPLESEA) beobachtet wurde. PondRAT gilt als leichtgewichtige Variante von POOLRAT.
Fox-IT konnte nach eigenen Angaben vier RemotePE-Samples erlangen, die darauf hindeuten, dass der RAT zwischen Mitte 2023 und Mitte 2024 aktiv weiterentwickelt wurde. Die erste Version trägt einen Kompilierungszeitstempel vom 4. Juli 2023.
Das Umgebungs-Keying des Werkzeugkastens, die ausschließlich speicherbasierte Ausführung, die Umgehung von EDR-Lösungen und der geringe forensische Fußabdruck deuten nach Einschätzung der Forscher darauf hin, dass das Werkzeug gezielt für langfristige Beobachtungskampagnen entwickelt wurde. Dies erlaube es dem Akteur, über einen längeren Zeitraum unauffällig Zugriff zu behalten, bevor er zu einem folgenreichen Endziel wie Datendiebstahl oder einem groß angelegten Finanzraub übergehe – im Einklang mit der bekannten Vorgeschichte dieses Akteurs.
Das Zustellmodell mit einem Akteur „in der Schleife" sowie die niedrige Erkennungsrate des Werkzeugkastens – weder RemotePELoader noch RemotePE waren vor dieser Veröffentlichung auf VirusTotal aufgetaucht – legten nahe, dass dieses Werkzeug hochwertigen Zielen vorbehalten sei, bei denen langfristiger, verdeckter Zugriff das Ziel sei. Das passt zum bekannten Fokus dieser Lazarus-Untergruppe auf Finanz- und Kryptounternehmen.
