ذكرت Cryptopolitan في 26 مايو أن محللي أمن السيبراني اكتشفوا برنامجًا ضارًا جديدًا غير مُثبت (RAT) يدعى RemotePE، ترتبط عملياتُه بجماعة Lazarus Group المرتبطة بكوريا الشمالية، والتي تستخدمه لاستهداف البنوك وشركات العملات المشفرة. يعمل RemotePE بالكامل داخل الذاكرة دون لمس نظام الملفات، ما يجعل برامج مكافحة الفيروسات التقليدية وأدوات التحليل الجنائي صعبة للغاية في اكتشافه.
سلسلة الهجوم ثلاثية المراحل لدى RemotePE: آلية تأكيد دون لمس نظام الملفات
يُنفّذ RemotePE عبر ثلاث مراحل مترابطة، دون لمس نظام الملفات طوال العملية:
المرحلة 1 - DPAPILoader: مكتبة برمجية مرتبطة ديناميكيًا (DLL، ويأتي أيضًا باسم Iassvc.dll منذ نوفمبر 2023)، تستخدم Windows DPAPI لفك تشفير الحمولة (payload) المخزنة على القرص
المرحلة 2 - RemotePELoader: ينشئ اتصالًا HTTP مع خادم C2 في aes-secure[.]net؛ ويستخدم تقنيات Hell's Gate وETW patch للتحايل على حلول EDR
المرحلة 3 - RemotePE: الحمولة الرئيسية يتم تنزيلها وتنفيذها داخل الذاكرة، دون لمس نظام الملفات أبدًا
أكّدت شركة DeFi أنها تعرضت لهجمات متتابعة من ثلاثة أنواع من RAT وهي RemotePE وPondRAT وThemeForestRAT.
أساليب الهندسة الاجتماعية: التمويه كموظفي شركات تداول
يستخدم المهاجمون Telegram للتمويه على هيئة موظفي شركة تداول، ويستعملون دعوات اجتماعات مزيفة عبر Calendly وPicktime لإطلاق هجوم هندسة اجتماعية عبر رابط؛ وبعد الحصول على موافقة الاجتماع، يبدأ سلسلة تثبيت البرمجيات الخبيثة ثلاثية المراحل. وأشار Fox-IT إلى أن طريقة «التدخل البشري» هذه تمكّن المهاجمين من تصميم محفزات موجهة لأهداف محددة.
سرقات Lazarus Group في 2026: TRM Labs تؤكد البيانات
أكدت TRM Labs أن Lazarus Group، خلال أول أربعة أشهر من عام 2026 فقط، استولت على أصول تشفير بقيمة نحو 577 مليون دولار عبر حادثتين بارزتين فقط، لتشكل 76% من إجمالي عمليات سرقة العملات المشفرة عالميًا في 2026. ارتفعت نسبة الهجمات المرتبطة بكوريا الشمالية من الأرقام الفردية خلال السنوات القليلة الماضية إلى 64% في 2025 و76% في 2026؛ ومنذ عام 2017، جرى جمع ما يقرب من 6 مليارات دولار من عمليات السطو المتراكمة، ويُزعم أن هذه الأموال استُخدمت في تطوير أسلحة وبرامج نووية لكوريا الشمالية في ظل العقوبات.
الأسئلة الشائعة
ما الفرق الجوهري بين RemotePE وRAT العادي؟
تتمثل السمة الأساسية لـ RemotePE في التنفيذ داخل الذاكرة فقط (دون نزول الملفات إلى القرص)، حيث لا يلمس أي من مراحل التنفيذ الثلاث نظام الملفات، ما يجعل برامج مكافحة الفيروسات وأدوات التحليل الجنائي التقليدية المعتمدة على فحص الملفات صعبة الاكتشاف. وأشار محللو Fox-IT إلى أن هذا التصميم يهدف إلى تمكين اختفاء طويل الأمد لأغراض الاستطلاع، وليس إلى تخريب قصير المدى.
كيف يتجاوز Stage 2 RemotePELoader حلول EDR؟
يستخدم RemotePELoader تقنيات Hell's Gate وETW patch للتحايل على حلول الكشف والاستجابة عند نقطة النهاية (EDR). تعمل هذه التقنيات عبر تعديل آلية تتبع الأحداث في النظام والاستدعاء المباشر لاستدعاءات النظام، متجاوزة مراقبة ربطات (API hooks) الخاصة بـ EDR.
كيف يتم تتبع الأموال التي سرقتها Lazarus Group؟
تعد TRM Labs شركة تحليل بلوك تشين رئيسية تتولى تتبع نشاط Lazarus Group على السلسلة، وقد أكدت إحصاءات السرقة في أول أربعة أشهر من 2026 بنحو 577 مليون دولار، إضافة إلى السجل المتراكم منذ 2017 بنحو 6 مليارات دولار. وتفاصيل أساليب التتبع متروكة لما ورد في التقرير الأصلي لدى TRM Labs.
