La Última Amenaza del Grupo Lazarus: El RAT Solo en Memoria RemotePE

El panorama de ciberseguridad al que se enfrenta la criptomoneda yfinanzas descentralizadas (DeFi)los sectores ha alcanzado un punto de inflexión crítico. A medida que los actores de amenazas refinan sus tácticas, la magnitud de la expropiación financiera ha escalado a un ritmo alarmante.

En el centro de esta crisis se encuentra un notorio colectivo patrocinado por el estado que opera desde Corea del Norte.

La última amenaza del Grupo Lazarus representa un profundo avance en la ingeniería maliciosa, alejándose agresivamente del malware convencional basado en disco hacia una ejecución en memoria altamente evasiva.

Esta evolución no es simplemente una nota técnica; es el mecanismo principal detrás de cientos de millones en activos digitales robados solo en los primeros meses de 2026.

Puntos Clave

• El nuevo malware RemotePE del Grupo Lazarus opera completamente dentro de la RAM del sistema, sin dejar archivos en el disco duro y haciendo que las herramientas tradicionales de antivirus y EDR sean en gran medida ineficaces.
• Al aprovechar enlaces falsos de Calendly y Picktime en Telegram, los hackers utilizan ingeniería social altamente dirigida para engañar a los empleados y hacer que inicien la infección de solo memoria.
• El impacto financiero es sin precedentes, con el grupo robando $577 millones en los primeros cuatro meses de 2026, lo que representa un asombroso 76% de todo el robo de criptomonedas a nivel mundial durante ese período.

Comercia con confianza. Bitrue es una plataforma segura y confiable. plataforma de trading de criptomonedaspara comprar, vender e intercambiar Bitcoin y altcoins.

Regístrate ahora para reclamar tu premio¡

Eludiendo defensas tradicionales de puntos finales

Durante años, los sistemas de detección y respuesta en endpoints (EDR) se han basado en gran medida en artefactos del sistema de archivos y telemetría de escritura en disco para identificar, aislar y poner en cuarentena software malicioso.

Reconociendo esta postura defensiva estándar de la industria, el grupo Lazarus desplegó arquitecturas de troyanos sin archivos diseñadas explícitamente para volver obsoletos a los protocolos de antivirus heredados.

Al operar completamente dentro de la Memoria de Acceso Aleatorio (RAM) de un sistema comprometido, esta nueva clase demalwaredeja absolutamente cero huellas digitales en el disco duro.

Para los equipos de seguridad que dependen de herramientas forenses tradicionales, la intrusión es prácticamente invisible, lo que permite a los actores de amenazas mantener un acceso silencioso y a largo plazo a redes de alto valor.

Leer también:Aave rsETH Operations Resume After Hack

La mecánica y despliegue de RemotePE

Los investigadores de seguridad de Fox-IT, una subsidiaria del NCC Group, recientemente desmantelaron la anatomía de esta sofisticada campaña.

Descubrieron que el Grupo Lazarus desplegó RemotePE, un troyano de acceso remoto (RAT) de múltiples etapas diseñado específicamente para la observación sostenida y robos financieros de alto impacto.

El ciclo de la intrusión comienza con un ingenio social meticulosamente elaborado en lugar de un ataque de fuerza bruta a una vulnerabilidad desconocida. Los atacantes infiltran plataformas como Telegram, haciéndose pasar por empleados legítimos de empresas de trading o reclutadores.

Distribuyen enlaces de programación fraudulentos que imitan a la perfección plataformas SaaS de confianza como Calendly y Picktime. Una vez que un objetivo interactúa con el enlace malicioso, se inicia una compleja secuencia de infección de tres niveles:

1. DPAPILoader:La violación inicial utiliza la API de Protección de Datos de Windows (DPAPI) para descifrar una carga útil cifrada que está ocultamente guardada en el disco, una técnica que se observó por primera vez a finales de 2023.
2. RemotePELoader:

   Esta etapa intermedia contacta a un servidor de comando y control (C2) remoto a través de HTTP. Recupera el módulo malicioso central e inyecta directamente en la memoria. Lo más crucial es que utiliza activamente técnicas de evasión, como Hell's Gate y parches de Event Tracing for Windows (ETW), para suprimir alertas de seguridad sistémicas.

3. RemotePE:

   El RAT final se ejecuta completamente en la RAM. Le otorga a los atacantes un control operativo total, permitiéndoles hacer ping a servidores, gestionar procesos y manipular archivos. Notablemente, al ejecutar comandos de eliminación de archivos, RemotePE sobrescribe los datos con bytes constantes siete veces antes de la eliminación—un patrón antiforense previamente observado en kits de herramientas de Lazarus anteriores como PondRAT y POOLRAT.

El costo financiero sin precedentes en las criptomonedas

El éxito operativo de esta arquitectura sin archivos se refleja en métricas financieras asombrosas.

Según los datos de inteligencia de blockchain de TRM Labs, el Grupo Lazarus logró desviar aproximadamente $577 millones en criptomonedas durante solo los primeros cuatro meses de 2026.

Esta asombrosa cifra representa el 76% de todos los robos de criptomonedas globales registrados en ese período, monopolizando efectivamente el mercado del cibercrimen.

Esto ya no es un espionaje corporativo estándar; es una operación de ingresos a gran escala, gestionada por el estado, diseñada para financiar una economía sancionada. Desde 2017, el sindicato ha acumulado aproximadamente 6 mil millones de dólares en

El despliegue estratégico de RemotePE destaca un enfoque deliberado y continuo en el sector financiero, donde los perpetradores establecen una profunda persistencia antes de ejecutar drenajes de capital masivos y coordinados.

Leer también:EE. UU. impone sanciones a Corea del Norte por robo de criptomonedas

Implicaciones para la Custodia de Activos Digitales

La revelación de que el grupo Lazarus llevó a cabo campañas de troyanos sin archivos a esta escala exige una recalibración inmediata de las posturas de seguridad en todo el ecosistema fintech.

Debido a que RemotePE evade la detección basada en disco, las organizaciones que utilizan revisiones estándar de la cadena de suministro SaaS o soluciones EDR convencionales permanecen críticamente expuestas.

El paradigma de defensa debe pivotar rápidamente hacia el análisis del comportamiento y la forensia en memoria. Los proveedores de seguridad que se especializan en la detección de amenazas a nivel de RAM son ahora socios esenciales para los custodios de criptomonedas, los intercambios y los protocolos DeFi.

Además, la capacitación sobre suplantación de empleados en plataformas de comunicación como Telegram ya no es una medida de higiene opcional, es un control de seguridad fundamental.

Las ramificaciones financieras probablemente se extenderán al mercado de seguros cibernéticos. Los aseguradores pueden pronto exigir prueba de capacidades defensivas avanzadas y basadas en memoria antes de emitir cobertura para los custodios de activos digitales, alterando fundamentalmente el costo base de seguridad en la era Web3.

Para sobrevivir a la última amenaza del Grupo Lazarus, las instituciones financieras deben modernizar sus modelos de amenaza de inmediato. En 2026, asumir que una red es segura simplemente porque sus discos están limpios es una vulnerabilidad que ninguna firma de criptomonedas puede permitirse explotar.

Lea también:El robo de $3 millones de XRP: Aquí está la historia

FAQ

¿Qué es la última amenaza del Grupo Lazarus?

La última amenaza del Grupo Lazarus es RemotePE, un "troyano de acceso remoto" (RAT) altamente sofisticado que es "solo de memoria" o sin archivos. A diferencia del malware tradicional, RemotePE se ejecuta completamente dentro de la RAM de un sistema y nunca escribe datos en el disco duro físico, lo que le permite eludir fácilmente el software antivirus estándar y los sistemas de Detección y Respuesta de Endpoint (EDR).

¿Cómo desplegó el Grupo Lazarus el troyano sin archivos?

El Grupo Lazarus desplegó el troyano sin archivos utilizando una combinación de ingeniería social y enlaces de programación falsos. Los atacantes suplantan a empleados de compañías de comercio en Telegram y envían a los objetivos enlaces maliciosos disfrazados como enlaces legítimos de Calendly o Picktime para reuniones. Una vez que se hace clic, un cargador de tres etapas (comenzando con DPAPILoader) inyecta silenciosamente el malware directamente en la memoria del sistema.

¿Qué es el malware RemotePE y cómo funciona?

RemotePE es un troyano de acceso remoto residente en memoria utilizado por hackers patrocinados por el estado norcoreano. Funciona utilizando técnicas avanzadas de evasión, como parchear el Seguimiento de Eventos para Windows (ETW) para suprimir alertas de seguridad. Una vez activo en la RAM, otorga a los atacantes el control total sobre la red comprometida, permitiéndoles ejecutar comandos, gestionar procesos activos y robar credenciales sensibles.

¿Cuánto cryptocurrency ha robado el Grupo Lazarus en 2026?

Según los datos de inteligencia blockchain de TRM Labs, el Grupo Lazarus robó aproximadamente $577 millones en criptomonedas durante los primeros cuatro meses de 2026. Esta cifra asombrosa representa aproximadamente el 76% de todo el robo de criptomonedas a nivel mundial registrado durante ese período, elevando el total estimado de la banda desde 2017 a más de $6 mil millones.

¿Cómo pueden las organizaciones detectar malware sin archivos como RemotePE?

Debido a que el malware sin archivos no deja rastro digital en el disco duro de una computadora, las organizaciones no pueden confiar en las herramientas antivirus tradicionales de escaneo de disco. Defenderse contra RemotePE requiere implementar análisis de memoria avanzados, detección de anomalías de comportamiento y estrictos protocolos de seguridad en lo que respecta a las comunicaciones corporativas en aplicaciones de mensajería de terceros como Telegram.

Descargo de responsabilidad: Las opiniones expresadas pertenecen exclusivamente al autor y no reflejan las opiniones de esta plataforma. Esta plataforma y sus afiliados renuncian a cualquier responsabilidad por la precisión o idoneidad de la información proporcionada. Esto es solo para fines informativos y no está destinado a ser un consejo financiero o de inversión.