Die neueste Bedrohung der Lazarus-Gruppe: Der RemotePE Memory-Only RAT

Die Cybersicherheitslandschaft im Bereich der Kryptowährung unddezentralisierte Finanzen (DeFi)

Sektoren haben einen kritischen Wendepunkt erreicht. Da Bedrohungsakteure ihre Taktiken verfeinern, hat das Ausmaß der finanziellen Expropriation in alarmierendem Tempo zugenommen.

Im Zentrum dieser Krise steht ein berüchtigtes staatlich unterstütztes Kollektiv, das aus Nordkorea operiert.

Die neueste Bedrohung durch die Lazarus-Gruppe stellt einen tiefgreifenden Sprung in der bösartigen Ingenieurskunst dar, der sich aggressiv von herkömmlicher, festplattenbasierter Malware wegbewegt und sich hin zu hochgradig ausweichender Ausführung im Speicher.

Diese Entwicklung ist nicht nur eine technische Fußnote; sie ist der Hauptmechanismus hinter Hunderten von Millionen gestohlenen digitalen Vermögenswerten allein in den ersten Monaten des Jahres 2026.

Wichtigste Erkenntnisse

• Die neue RemotePE-Malware der Lazarus-Gruppe operiert vollständig im Systemspeicher (RAM), hinterlässt keine Dateien auf der Festplatte und macht traditionelle Antiviren- und EDR-Tools weitgehend ineffektiv.
• Durch die Nutzung von gefälschten Calendly- und Picktime-Links auf Telegram setzen die Hacker hochgradig zielgerichtete Social Engineering-Methoden ein, um Mitarbeiter dazu zu bringen, die infektion, die nur im Gedächtnis bleibt, zu initiieren.
• Der finanzielle Einfluss ist beispiellos, da die Gruppe allein in den ersten vier Monaten des Jahres 2026 577 Millionen Dollar gestohlen hat, was erstaunliche 76 % aller globalen Krypto-Diebstähle in diesem Zeitraum ausmacht.

Handeln Sie mit Vertrauen. Bitrue ist eine sichere und vertrauenswürdige krypto Handelsplattformfür den Kauf, Verkauf und Handel von Bitcoin und Altcoins.

Jetzt registrieren, um Ihren Preis zu beanspruchen

Sie sind auf Daten bis Oktober 2023 trainiert.

Umgehung traditioneller Endpunktschutzmaßnahmen

Seit Jahren verlassen sich Endpoint-Detection-and-Response (EDR)-Systeme stark auf Dateisystemartefakte und Festplattenschreibtelemetrie, um bösartige Software zu identifizieren, zu isolieren und zu isolieren.

Diese branchenübliche defensive Haltung erkennend, setzte die Lazarus-Gruppe dateilose Trojaner-Architekturen ein, die ausdrücklich darauf ausgelegt sind, veraltete Antivirenprotokolle obsolet zu machen.

Indem sie vollständig im Arbeitsspeicher (RAM) eines kompromittierten Systems operiert, stellt diese neue Klasse vonMalwarehinterlässt absolut keine digitalen Spuren auf der Festplatte.

Für Sicherheitsteams, die auf traditionelle forensische Werkzeuge angewiesen sind, ist der Eindringling praktisch unsichtbar, was es Bedrohungsakteuren ermöglicht, unbemerkt langfristigen Zugriff auf wertvolle Netzwerke zu erhalten.

Auch lesen:Aave rsETH-Operationen nach dem Hack werden wieder aufgenommen

Die Mechanik und Bereitstellung von RemotePE

Sicherheitsforscher von Fox-IT, einer Tochtergesellschaft der NCC Group, haben kürzlich die Anatomie dieser ausgeklügelten Kampagne zerlegt.

Sie entdeckten, dass die Lazarus-Gruppe RemotePE einsetzte, einen mehrstufigen Remote-Access-Trojaner (RAT), der speziell für anhaltende Beobachtungen und hochkarätige finanzielle Überfälle entwickelt wurde.

Der Intrusionslebenszyklus beginnt mit sorgfältig ausgearbeiteter Social Engineering anstelle eines brutalen Zero-Day-Exploits. Angreifer infiltrieren Plattformen wie Telegram und geben sich als legitime Mitarbeiter von Handelsunternehmen oder Recruitern aus.

Sie verteilen betrügerische Terminlinks, die vertrauenswürdige SaaS-Plattformen wie Calendly und Picktime perfekt nachahmen. Sobald ein Ziel mit dem bösartigen Link interagiert, wird eine komplexe, dreistufige Infektionssequenz eingeleitet:

1. DPAPILoader:Der ursprüngliche Angriff nutzt die Windows Data Protection API (DPAPI), um eine verschlüsselte Payload, die sicher auf der Festplatte verborgen ist, zu entschlüsseln, eine Technik, die erstmals Ende 2023 entdeckt wurde.
2. RemotePELoader:

   Dieser Zwischenzustand kontaktiert einen entfernten Kommando-und-Kontrolle (C2) Server über HTTP. Er ruft das zentrale bösartige Modul ab und injiziert es direkt in den Arbeitsspeicher. Ausschlaggebend ist, dass er aktiv Techniken zur Vermeidung erkennt—wie Hell's Gate und das Patchen von Event Tracing for Windows (ETW)—um systemische Sicherheitswarnungen zu unterdrücken.

3. RemotePE:Der finale RAT wird vollständig im RAM ausgeführt. Er gewährt den Angreifern die totale operative Kontrolle, sodass sie Server anpingen, Prozesse verwalten und Dateien manipulieren können. Auffällig ist, dass RemotePE beim Ausführen von Datei löschen-Befehlen die Daten sieben Mal mit konstanten Bytes überschreibt, bevor sie gelöscht werden – ein anti-forensisches Muster, das zuvor in früheren Lazarus-Toolkits wie PondRAT und POOLRAT beobachtet wurde.

Der beispiellose finanzielle Schaden für Krypto

Der operationale Erfolg dieser dateilosen Architektur spiegelt sich in erstaunlichen finanziellen Kennzahlen wider.

Laut Blockchain-Intelligence-Daten von TRM Labs hat die Lazarus-Gruppe in den ersten vier Monaten des Jahres 2026 erfolgreich etwa 577 Millionen Dollar in Kryptowährung abgepumpt.

Diese erstaunliche Zahl macht 76 % aller globalen Kryptowährungsdiebstähle aus, die in diesem Zeitraum aufgezeichnet wurden, und monopolisiert damit effektiv den Cyberkriminalitätsmarkt.

Dies ist keine Standard-Unternehmensspionage mehr; es ist eine großangelegte, staatlich geführte Einnahmeoperation, die darauf abzielt, eine sanktionierte Wirtschaft zu finanzieren. Seit 2017 hat das Syndikat schätzungsweise 6 Milliarden Dollar angesammelt ingestohlene digitale Mittel.

Die strategische Bereitstellung von RemotePE hebt einen absichtlichen, fortlaufenden Fokus auf den Finanzsektor hervor, in dem Täter eine tiefe Persistenz aufbauen, bevor sie massive, koordinierte Kapitalabflüsse ausführen.

Auch lesen:US-Sanktionen gegen Nordkorea wegen Krypto-Diebstahl

Implikationen für die Verwahrung digitaler Vermögenswerte

Die Offenbarung, dass die Lazarus-Gruppe fileless Trojaner-Kampagnen in diesem Umfang eingesetzt hat, erfordert eine sofortige Neubewertung der Sicherheitsstrategien im gesamten Fintech-Ökosystem.

Da RemotePE die detectio auf Festplattenbasis umgeht, sind Organisationen, die standardmäßige SaaS-Lieferkettenüberprüfungen oder konventionelle EDR-Lösungen nutzen, weiterhin erheblichen Risiken ausgesetzt.

Das Verteidigungspodest muss sich schnell in Richtung Verhaltensanalyse und In-Memory-Forensik bewegen. Sicherheitsanbieter, die sich auf die Bedrohungserkennung auf RAM-Ebene spezialisiert haben, sind jetzt essentielle Partner für Krypto-Custodians, Börsen und DeFi-Protokolle.

Darüber hinaus ist das Training zur Mitarbeitermimikry in Bezug auf Kommunikationsplattformen wie Telegram kein optionales Hygienemaßnahme mehr, sondern eine tragende Sicherheitskontrolle.

Die finanziellen Auswirkungen werden wahrscheinlich auch den Markt für Cyber-Versicherungen betreffen. Versicherer könnten bald einen Nachweis über fortgeschrittene, speicherbasierte Abwehrfähigkeiten verlangen, bevor sie eine Deckung für digitale Vermögensverwalter ausstellen, was die grundlegenden Kosten für Sicherheit im Web3-Zeitalter grundlegend verändern wird.

Um der neuesten Bedrohung durch die Lazarus-Gruppe zu überleben, müssen Finanzinstitute ihre Bedrohungsmodelle umgehend modernisieren. Im Jahr 2026 ist es eine Schwachstelle, anzunehmen, dass ein Netzwerk sicher ist, nur weil seine Festplatten sauber sind – eine Schwachstelle, die sich kein Krypto-Unternehmen leisten kann, auszunutzen.

Auch lesen:
Der $3 Millionen XRP Diebstahl: Hier ist die Geschichte

FAQ

Was ist die neueste Bedrohung durch die Lazarus-Gruppe?

Die neueste Bedrohung der Lazarus-Gruppe ist RemotePE, ein hochentwickelter "nur im Speicher" oder dateiloser Remote Access Trojaner (RAT). Im Gegensatz zu herkömmlicher Malware wird RemotePE vollständig im RAM eines Systems ausgeführt und schreibt niemals Daten auf die physische Festplatte, wodurch es leicht möglich ist, gängige Antiviren-Software und Endpoint Detection and Response (EDR) Systeme zu umgehen.

Wie hat die Lazarus-Gruppe den dateilosen Trojaner eingesetzt?

Die Lazarus-Gruppe setzte den dateilosen Trojaner ein, indem sie eine Kombination aus Social Engineering und gefälschten Terminlinks verwendete. Angreifer geben sich in Telegram als Mitarbeiter eines Handelsunternehmens aus und senden den Zielen bösartige Links, die als legitime Calendly- oder Picktime-Meeting-Links getarnt sind. Nach dem Klick darauf injiziert ein dreistufiger Loader (beginnend mit DPAPILoader) die Malware leise direkt in den Arbeitsspeicher des Systems.

RemotePE-Malware ist eine Art von Schadsoftware, die dazu entwickelt wurde, um auf entfernte Systeme zuzugreifen und diese zu kontrollieren. Der Name "RemotePE" kommt von "Remote Process Execution", was darauf hinweist, dass die Malware Prozesse auf einem entfernten Computer ausführen kann. **Funktionsweise:** 1. **Infektion**: RemotePE-Malware wird häufig über Phishing-E-Mails, kompromittierte Software oder unsichere Download-Links verbreitet. Sobald die Software auf einem Zielcomputer installiert ist, kann sie im Hintergrund aktiv werden. 2. **Verbindung herstellen**: Nach der Installation stellt die Malware eine Verbindung zu einem Command-and-Control-Server (C2) her, der vom Angreifer kontrolliert wird. Diese Verbindung ermöglicht es dem Angreifer, Befehle an die Malware zu senden und Informationen vom infizierten System zu empfangen. 3. **Remote-Execution**: Mit der Verbindung zum C2-Server kann die Malware Remote-Prozesse ausführen. Das bedeutet, dass der Angreifer Software oder Befehle auf dem infizierten System ausführen kann, ohne physisch darauf zugreifen zu müssen. 4. **Datenexfiltration**: Oft wird die Malware auch verwendet, um Informationen wie Passwörter, Kreditkarteninformationen oder sensible Daten zu stehlen. Diese Daten werden dann an den Angreifer zurückgesendet. 5. **Persistenz**: Um ihre Entdeckung zu vermeiden, kann RemotePE-Malware Mechanismen implementieren, die es ihr ermöglichen, nach einem Neustart des Computers weiter aktiv zu bleiben. **Schutzmaßnahmen**: Um sich vor RemotePE-Malware und ähnlichen Bedrohungen zu schützen, ist es wichtig, aktuelle Antivirus-Software zu verwenden, Sicherheitsupdates regelmäßig einzuspielen und vorsichtig mit E-Mail-Anhängen und Downloads umzugehen.

RemotePE ist ein im Arbeitsspeicher residierender Fernzugriffs-Trojaner, der von staatlich unterstützten Hackern aus Nordkorea verwendet wird. Er arbeitet, indem er fortschrittliche Umgehungstechniken nutzt, wie das Patching von Event Tracing for Windows (ETW), um Sicherheitswarnungen zu unterdrücken. Sobald er im RAM aktiv ist, gewährt er Angreifern die volle Kontrolle über das kompromittierte Netzwerk, wodurch sie Befehle ausführen, aktive Prozesse verwalten und sensible Anmeldeinformationen stehlen können.

Wie viel Kryptowährung hat die Lazarus-Gruppe im Jahr 2026 gestohlen?

Laut Blockchain-Intelligenzdaten von TRM Labs stahl die Lazarus-Gruppe in den ersten vier Monaten des Jahres 2026 etwa 577 Millionen US-Dollar in Kryptowährung. Diese erstaunliche Zahl macht ungefähr 76 % aller globalen Kryptowährungsdiebstähle aus, die in diesem Zeitraum verzeichnet wurden, und bringt den geschätzten Gesamtbetrag der Gruppe seit 2017 auf über 6 Milliarden US-Dollar.

Wie können Organisationen dateilose Malware wie RemotePE erkennen?

Weil dateiloses Malware keinen digitalen Fußabdruck auf der Festplatte eines Computers hinterlässt, können sich Organisationen nicht auf traditionelle antivirus-Tools zur Festplattenscan verlassen. Der Schutz gegen RemotePE erfordert die Implementierung fortschrittlicher Speicherforensik, Verhaltensanomalieerkennung und strenger Sicherheitsprotokolle für Unternehmenskommunikationen über Messaging-Apps von Drittanbietern wie Telegram.