核心概述
Fox-IT(NCC Group)5 月 22 日披露:朝鲜国家级黑客组织 Lazarus Group(拉扎勒斯) 已在金融 / 加密货币攻击中,全面启用新型纯内存远控木马 RemotePE,完全不写硬盘、无文件落地,对抗 EDR / 杀软与取证溯源能力极强,用于替换旧款 PondRAT/ThemeForestRAT。
一、攻击背景与目标
归属:朝鲜 Lazarus 子团伙(关联 AppleJeus、Citrine Sleet、UNC4736、Gleaming Pisces)。
目标:全球银行、交易所、DeFi 平台、加密货币企业,2025 年 9 月首现 DeFi 攻击,迄今涉5.77 亿美元加密资产失窃。
入口:Telegram 社工 —— 伪装贸易公司员工,诱导点击虚假 Calendly/Picktime 会议链接,植入初始载荷。
二、三阶段 “无文件” 攻击链(关键)
1)Stage 1:DPAPILoader(Iassvc.dll)
利用 Windows DPAPI 绑定用户 / 机器密钥,解密并加载加密的 RemotePELoader。
特点:每台机器加密哈希唯一,绕过特征匹配;无 DPAPI 密钥则无法解密,VirusTotal 样本无效。
2)Stage 2:RemotePELoader
连接 C2:aes-secure[.]net,通过 HTTP 回传信标、等待指令。
对抗:Hell’s Gate 动态 API 调用、ETW 日志打补丁,规避 EDR 行为检测。
3)Stage 3:RemotePE(核心 RAT,纯内存)
全程内存执行、不写硬盘、无任何文件痕迹,传统杀毒 / 取证工具几乎无法发现。
2026 年 5 月前VirusTotal 无样本,隐蔽性拉满。
三、RemotePE 核心能力(C++ 开发,跨平台)
文件管理:读写、7 次覆写安全删除(防取证恢复)。
进程控制:枚举、创建、终止进程;注入可信进程(如 svchost.exe)。
权限与横向移动:窃取凭证、PsExec/SMB 内网扩散、计划任务持久化。
数据窃取:内存截屏、剪贴板监控、KeePass 密码抓取。
远控:远程 Shell、命令执行、自定义心跳间隔(随机抖动规避流量分析)。
四、核心对抗技术(为什么难防)
纯内存无文件:无 PE 落地、无注册表残留、无启动项,取证无痕迹。
DPAPI 绑定:密钥与用户 / 机器绑定,一机一密,静态分析失效。
环境密钥 + 沙箱反检测:校验硬件 / 系统环境,虚拟机 / 沙箱直接退出。
动态 API + 内存注入:不依赖导入表,直接内存加载,绕过 API 钩子。
五、关联事件与影响
替代旧工具:Lazarus 放弃 PondRAT/ThemeForestRAT,全面转向 RemotePE 武器库。
攻击节奏:2023 年 11 月雏形→2025 年 9 月实战→2026 年大规模部署,长期潜伏 + 精准打击。
行业警示:金融 / 加密企业需重点监控内存异常行为、可疑进程注入、DPAPI 滥用、罕见 C2 域名。
觉得内容不错?我要
](https://s3.uuu.ovh/2026/05/21/47NXj0Av.jpg)
](https://s3.uuu.ovh/2026/05/21/MJlUrIQB.png)
