Lazarus 部署無文件木馬 RemotePE，攻擊加密業和銀行

據 Cryptopolitan 於 5 月 26 日報道，網路安全分析師發現名為 RemotePE 的新型無文件遠端存取木馬（RAT），與北韓有關聯的 Lazarus Group 正利用其攻擊銀行和加密貨幣公司。RemotePE 完全在記憶體中運行，不接觸文件系統，傳統殺毒和取證工具極難偵測。

RemotePE 的三階段攻擊鏈：不接觸文件系統的確認機制

RemotePE 透過三個串聯階段執行，整個過程不接觸文件系統：

Stage 1 - DPAPILoader：動態連結程式庫（DLL，自 2023 年 11 月起文件名也為 Iassvc.dll），使用 Windows DPAPI 解密磁碟上的有效載荷

Stage 2 - RemotePELoader：與 aes-secure[.]net 的 C2 伺服器建立 HTTP 連線；使用地獄之門（Hell's Gate）技術和 ETW 補丁繞過 EDR 解決方案

Stage 3 - RemotePE：主要有效載荷在記憶體中下載並執行，從不接觸文件系統

一家 DeFi 公司確認遭到 RemotePE、PondRAT 和 ThemeForestRAT 三種 RAT 的連續攻擊。

社交工程手法：偽裝成交易公司員工

攻擊者透過 Telegram 冒充交易公司員工，使用偽造的 Calendly 和 Picktime 會議安排連結進行社交工程攻擊；在獲得會議批准後，啟動三階段惡意軟體安裝鏈。Fox-IT 指出，這種「人為干預」的方法使攻擊者能夠設計出針對具體目標的有效誘餌。

Lazarus Group 2026 年竊取統計：TRM Labs 確認數據

TRM Labs 確認，Lazarus Group 在 2026 年前四個月僅透過兩起重大事件，竊取了約 5.77 億美元加密資產，佔 2026 年全球加密竊盜總額的 76%。北韓關聯駭客攻擊比例從前幾年的個位數，上升至 2025 年的 64% 和 2026 年的 76%；自 2017 年累計竊取約 60 億美元，據稱這些資金被用於北韓在制裁下的武器和核武研發。

常見問題

RemotePE 與普通 RAT 的核心區別是什麼？

RemotePE 的核心特性是純記憶體執行（無文件落地），三個執行階段均不接觸文件系統，使傳統的基於文件掃描的殺毒軟體和取證工具難以偵測。Fox-IT 的分析師指出，這種設計旨在實現長期潛伏以進行偵察，而非短期破壞。

Stage 2 RemotePELoader 如何繞過 EDR 解決方案？

RemotePELoader 使用地獄之門（Hell's Gate）技術和 ETW 補丁來繞過端點偵測和回應（EDR）解決方案。這些技術通過修改系統事件追蹤機制並直接調用系統調用，避開 EDR 的 API 鉤子監控。

Lazarus Group 竊取的資金如何被追蹤？

TRM Labs 是追蹤 Lazarus Group 鏈上活動的主要區塊鏈分析公司，確認了 2026 年前四個月約 5.77 億美元的竊取統計，以及自 2017 年以來累計約 60 億美元的記錄。具體追蹤方法以 TRM Labs 的原始報告為準。