Die nordkoreanische Hacker-Gruppe Lazarus hat sich erneut als einer der gefährlichsten Cyberkriminellen-Akteure weltweit hervorgetan. Laut Analysen des NCC-Group-Subunternehmens Fox-IT nutzt die Gruppe ein hochentwickeltes Schadprogramm namens RemotePE, das speziell für Angriffe auf finanzielle Ziele optimiert wurde.
Die Angriffsinfrastruktur funktioniert nach einem dreistufigen Modell. Im ersten Schritt kommt der DPAPILoader zum Einsatz – eine Datei namens “Iassvc.dll”, die Windows’ Data Protection API (DPAPI) missbraucht, um verschlüsselte Payloads von der Festplatte zu entschlüsseln. Die ältesten bekannten Artefakte stammen aus November 2023. Im zweiten Schritt lädt der RemotePELoader ein weiteres Modul nach und macht sich dabei bereits Evasions-Techniken wie Hell’s Gate und ETW-Patching zu Nutze – beides gängige Methoden, um Sicherheitssoftware zu umgehen. Die Kommunikation erfolgt über HTTP mit dem Server “aes-secure[.]net”.
Das Kernstück ist RemotePE selbst: ein in C++ geschriebener Remote-Access-Trojaner, der vollständig im Arbeitsspeicher lädt und niemals auf die Festplatte geschrieben wird. Dies ist eine entscheidende Besonderheit, da es moderne Forensik-Werkzeuge erheblich erschwert, Spuren zu finden. Das Malware-Modul wird aktiv aus einem Command-and-Control-Server mit Befehlen versorgt und unterstützt sechs verschiedene Befehlskategorien.
Eine besonders fragwürdige Funktion ist die sichere Dateiverwischung: Bevor Dateien gelöscht werden, überschreibt RemotePE sie sieben Mal mit konstanten Bytes – ein Muster, das auch in verwandten Schädlingen wie PondRAT auftaucht. Dies deutet auf eine bewusste Strategie zur Beseitigung von Spuren hin.
Fox-IT-Forscher dokumentierten vier RemotePE-Samples, die zeigen, dass die Malware zwischen Mitte 2023 und Mitte 2024 aktiv weiterentwickelt wurde. Die früheste bekannte Kompilierung stammt vom 4. Juli 2023. Besonders bemerkenswert ist, dass weder RemotePELoader noch RemotePE vor dieser Veröffentlichung auf VirusTotal auftauchten – ein sicheres Zeichen dafür, dass dieses Toolset sorgfältig gehütet und nur gegen hochwertige Ziele eingesetzt wird.
Fox-IT-Analysten bewerten das Gesamtbild eindeutig: Die Kombination aus Environmental Keying, Memory-Only-Ausführung und niedriger Erkennungsrate deutet auf ein “purpose-built”-System für langfristige Überwachungskampagnen. Dies entspricht präzise der bekannten Modus Operandi dieser Lazarus-Untergruppe – lange Zeit unentdeckt bleiben, bevor es zum großen Schlag kommt: Dateneraub oder massive finanzielle Heists. Deutsche Finanzunternehmen und Kryptoplattformen sollten ihre Sicherheitsmaßnahmen überprüfen.