Lazarus Group Triển Khai Malware RemotePE Chỉ Hoạt Động Trong Bộ Nhớ Nhắm Vào Các Công Ty Tài Chính và Tiền Điện Tử

Các nhà nghiên cứu an ninh mạng vừa công bố chi tiết về một loại malware đa nền tảng mới mang tên RemotePE, được nhóm Lazarus Group (có liên hệ với Triều Tiên) sử dụng trong các cuộc tấn công nhắm vào các tổ chức tài chính và tiền điện tử. RemotePE là một phần của chuỗi tấn công nhiều giai đoạn, bao gồm hai loader là DPAPILoader và RemotePELoader.

Theo Fox-IT, công ty con của NCC Group, DPAPILoader có nhiệm vụ giải mã và tải RemotePELoader từ ổ đ đĩa bằng cách sử dụng Windows Data Protection API (DPAPI). Các nhà nghiên cứu Yun Zheng Hu và Mick Koomen cho biết: “RemotePELoader sau đó sẽ kết nối với máy chủ C2 và chờ nhận giai đoạn tiếp theo: RemotePE, một RAT (Remote Access Trojan) được thực thi hoàn toàn trong bộ nhớ và không bao giờ ghi vào ổ đĩa, không để lại bất kỳ dấu vết nào trên hệ thống tệp.”

RemotePE lần đầu tiên được Fox-IT đề cập vào tháng 9 năm 2025 trong một cuộc tấn công nhắm vào một tổ chức trong lĩnh vực tài chính phi tập trung (DeFi), dẫn đến việc triển khai ba họ malware khác, bao gồm PondRAT, ThemeForestRAT và RemotePE.

Cuộc tấn công bắt đầu bằng việc xâm nhập thiết bị của một nhân viên thông qua kỹ thuật xã hội. Kẻ tấn công đã tiếp cận nạn nhân trên Telegram dưới danh nghĩa một nhân viên hiện có của một công ty giao dịch và sắp xếp cuộc họp trên các tên miền Calendly và Picktime giả mạo.

Quy trình lây nhiễm RemotePE diễn ra qua ba giai đoạn. Đầu tiên, DLL DPAPILoader (“Iassvc.dll”) chịu trách nhiệm giải mã và tải một payload được mã hóa từ ổ đĩa bằng DPAPI. Các dấu vết sớm nhất của DPAPILoader được tìm thấy từ tháng 11 năm 2023.

Payload đã giải mã là một loader khác, RemotePELoader, được thiết kế để liên hệ với một server từ xa (“aes-secure[.]net”) qua HTTP, tìm nạp module cốt lõi và thực thi nó trong bộ nhớ. Trước khi thực thi, RemotePELoader còn thực hiện các bước để né tránh phát hiện bằng các kỹ thuật như Hell’s Gate và vá Event Tracing for Windows (ETW).

Giai đoạn cuối cùng là một remote access trojan (RAT) hoàn chỉnh có tên RemotePE, được viết bằng C++ và liên tục thăm dò máy chủ command-and-control (C2) để nhận các lệnh tiếp theo. Malware này hỗ trợ sáu loại lệnh, cho phép nó:

• Thu thập hoặc sửa đổi cấu hình C2.
• Lấy hoặc thay đổi thư mục làm việc hiện tại, đăng ký một module DLL mới, lấy danh sách các DLL đã tải và gỡ tải một DLL.
• Thực hiện các thao tác tệp.
• Lấy danh sách các tiến trình đang chạy, tạo một tiến trình mới hoặc kết thúc tiến trình theo ID.
• Ngủ trong một khoảng thời gian định trước hoặc thoát RemotePE.
• Ping server.

Một điểm đáng chú ý của lệnh xóa tệp là nó sẽ ghi đè lên mỗi tệp bằng các byte cố định bảy lần trước khi đổi tên và xóa, một mẫu hành vi cũng được quan sát thấy trong PondRAT và POOLRAT (còn gọi là SIMPLESEA). PondRAT được đánh giá là phiên bản nhẹ hơn của POOLRAT.

Fox-IT cho biết họ đã thu thập được bốn mẫu RemotePE cho thấy RAT này đang được phát triển tích cực từ giữa năm 2023 đến giữa năm 2024. Phiên bản đầu tiên có dấu thời gian biên dịch là ngày 4 tháng 7 năm 2023.

Các nhà nghiên cứu nhận định: “Bộ công cụ này với khả năng khóa môi trường, thực thi chỉ trong bộ nhớ, né tránh EDR và dấu vết pháp y thấp cho thấy nó được xây dựng có mục đích cho các chiến dịch giám sát dài hạn. Điều này cho phép kẻ tấn công duy trì quyền truy cập một cách âm thầm trong một thời gian dài trước khi chuyển sang mục tiêu cuối cùng có tác động lớn như đánh cắp dữ liệu hoặc một vụ trộm tài chính quy mô lớn, phù hợp với lịch sử hoạt động của nhóm này.”

“Mô hình phân phối ‘actor-in-the-loop’ và tỷ lệ phát hiện thấp của bộ công cụ (cả RemotePELoader và RemotePE đều không xuất hiện trên VirusTotal trước khi công bố này) cho thấy bộ công cụ này có thể được dành riêng cho các mục tiêu giá trị cao, nơi mục tiêu là truy cập lâu dài, lén lút, phù hợp với trọng tâm đã biết của nhóm con Lazarus này vào các tổ chức tài chính và tiền điện tử.”

Nguồn tham khảo: The Hacker News