Lazarus Group запустила невидимый троян RemotePE против крипто-сектора

Главное:

• Северокорейская группировка Lazarus атакует банки и криптобиржи новым трояном RemotePE.
• Хакеры выходят на жертв в Telegram под видом сотрудников трейдинговых компаний.
• За январь-апрель 2026 года Lazarus похитила $577 млн — 76% всех краж в крипте.

Специалисты по кибербезопасности нашли свежий RAT-троян под названием RemotePE, работающий только в памяти. Этот инструмент находится на вооружении северокорейской группировки Lazarus, которая бьет по банкам, крипто-биржам и финтех-проектам. Из-за исполнения целиком в оперативной памяти обычные антивирусы и средства цифровой криминалистики его почти не видят.

В одном из задокументированных эпизодов сеть DeFi-проекта оказалась заражена тремя RAT-троянами сразу: RemotePE, PondRAT и ThemeForestRAT поочередно сменяли друг друга на скомпрометированных машинах.

Как работает атака Lazarus Group

Сценарий стартует с социальной инженерии. Операторы пишут жертвам в Telegram под видом сотрудников трейдинговых компаний и отправляют поддельные ссылки на планировщики встреч Calendly и Picktime. Стоит цели подтвердить встречу — стартует цепочка заражения.

Сама атака идет в три этапа. Сначала на компьютер жертвы попадает программа-загрузчик DPAPILoader (под именем Iassvc.dll она ходит по сети с ноября 2023 года). Она использует встроенную в Windows систему защиты данных, чтобы расшифровать вредоносный код. Дальше в дело вступает второй загрузчик — RemotePELoader. Он связывается с управляющим сервером по адресу aes-secure[.]net и подгружает основной троян прямо в память компьютера, минуя жесткий диск.

Чтобы остаться незамеченным для систем защиты (так называемых EDR), загрузчик использует специальные приемы обхода — Hell's Gate и ETW Patching. Сам троян RemotePE на диск не записывается, поэтому экспертам потом крайне сложно найти следы атаки.

Аналитики компании Fox-IT (входит в NCC Group) считают: RemotePE создан не для быстрого удара, а для долгой скрытной работы внутри сети жертвы. Сначала разведка — потом атака. Первые случаи использования трояна зафиксировали в сентябре 2025 года.

Доля Lazarus в крипто-кражах достигла 76%

По подсчетам блокчейн-аналитиков TRM Labs, за январь — апрель 2026 года Lazarus Group вывела около $577 млн в цифровых активах. На эту сумму приходится 76% всех мировых хищений в крипте, и это при всего двух крупных инцидентах за период.

Вклад КНДР в криптовзломы за последние годы значительно вырос: с единичных случаев в прежние годы — до 64% в 2025 году и 76% по итогам начала 2026 года.