O cenário de cibersegurança enfrentado pelas criptomoedas efinanças descentralizadas (DeFi)setores atingiram um ponto de inflexão crítico. À medida que os atores de ameaça refinam suas táticas, a mera escala da expropriação financeira aumentou a uma taxa alarmante.

No centro desta crise está uma notória coletividade patrocinada pelo estado que opera da Coreia do Norte.

A mais recente ameaça do Grupo Lazarus representa um salto profundo na engenharia maliciosa, afastando-se agressivamente do malware convencional baseado em disco em direção à execução em memória altamente evasiva.

Esta evolução não é apenas uma nota técnica; é o mecanismo principal por trás de centenas de milhões em ativos digitais roubados apenas nos primeiros meses de 2026.

Principais Conclusões

• O novo malware RemotePE do Grupo Lazarus opera inteiramente na RAM do sistema, não deixando arquivos no disco rígido e tornando as ferramentas tradicionais de antivírus e EDR amplamente ineficazes.
• Ao aproveitar links falsos do Calendly e do Picktime no Telegram, os hackers utilizam engenharia social altamente direcionada para enganar os funcionários a iniciarem a infecção apenas por memória.
• O impacto financeiro é sem precedentes, com o grupo roubando $577 milhões apenas nos primeiros quatro meses de 2026, representando impressionantes 76% de todo o roubo de criptomoedas global durante esse período.

Compre com confiança. A Bitrue é uma plataforma segura e confiável. plataforma de negociação de criptomoedaspara comprar, vender e negociar Bitcoin e altcoins.

```html Registre-se agora para reivindicar seu prêmio ```!

Apenas traduzindo o texto, ficaria assim: Bypassing Traditional Endpoint Defenses

Por anos, sistemas de detecção e resposta de endpoint (EDR) têm dependido fortemente de artefatos do sistema de arquivos e telemetria de gravação em disco para identificar, isolar e colocar em quarentena software malicioso.

Reconhecendo essa postura defensiva padrão da indústria, o grupo Lazarus implantou arquiteturas de trojan sem arquivo projetadas especificamente para tornar obsoletos os protocolos de antivírus legados.

Ao operar inteiramente dentro da Memória de Acesso Aleatório (RAM) de um sistema comprometido, esta nova classe demalwaredeixa absolutamente zero rastros digitais no disco rígido.

Para as equipes de segurança que dependem de ferramentas forenses tradicionais, a intrusão é virtualmente invisível, permitindo que os atores de ameaça mantenham acesso silencioso e de longo prazo a redes de alto valor.

Leia Também:A operação do rsETH da Aave foi retomada após o hack.

Os Mecanismos e a Implementação do RemotePE

Pesquisadores de segurança da Fox-IT, uma subsidiária do NCC Group, recentemente desmontaram a anatomia desta campanha sofisticada.

Eles descobriram que o Grupo Lazarus implantou o RemotePE, um trojan de acesso remoto (RAT) em múltiplas etapas projetado especificamente para observação sustentada e assaltos financeiros de alto impacto.

O ciclo de vida da intrusão começa com engenharia social meticulosamente elaborada em vez de um exploit zero-day de força bruta. Os atacantes infiltram-se em plataformas como o Telegram, fazendo-se passar por funcionários legítimos de empresas de negociação ou recrutadores.

Eles distribuem links de agendamento fraudulentos que imitam perfeitamente plataformas SaaS de confiança, como Calendly e Picktime. Assim que um alvo interage com o link malicioso, uma sequência de infecção complexa em três níveis é iniciada:

1. A violação inicial utiliza a API de Proteção de Dados do Windows (DPAPI) para descriptografar uma carga útil criptografada, ocultada com segurança no disco, uma técnica que foi detectada pela primeira vez no final de 2023.
2. RemotePELoader:

   Esta fase intermediária contata um servidor remoto de comando e controle (C2) via HTTP. Ele recupera o módulo malicioso central e o injeta diretamente na memória. Crucialmente, ele utiliza ativamente técnicas de evasão — como o Hell’s Gate e o patching do Event Tracing for Windows (ETW) — para suprimir alertas de segurança sistêmicos.

3. RemotePE:O RAT final é executado inteiramente na RAM. Ele concede aos atacantes controle operacional total, permitindo que façam ping em servidores, gerenciem processos e manipulem arquivos. Notavelmente, ao executar comandos de exclusão de arquivos, o RemotePE sobrescreve os dados com bytes constantes sete vezes antes da exclusão—um padrão anti-forense anteriormente observado em kits de ferramentas do Lazarus, como PondRAT e POOLRAT.

O Custo Financeiro Sem Precedentes para as Criptomoedas

O sucesso operacional desta arquitetura sem arquivo é refletido em métricas financeiras impressionantes.

De acordo com dados de inteligência em blockchain da TRM Labs, o Grupo Lazarus conseguiu desviar aproximadamente $577 milhões em criptomoeda durante apenas os primeiros quatro meses de 2026.

Esta figura impressionante representa 76% de todo o roubo de criptomoedas global registrado nesse período, monopolizando efetivamente o mercado de cibercrime.

Este não é mais um espionagem corporativa padrão; é uma operação de arrecadação em escala, administrada pelo estado, projetada para financiar uma economia sancionada. Desde 2017, o sindicato acumulou uma estimativa de $6 bilhões emfundos digitais roubados.

A implantação estratégica do RemotePE destaca um foco deliberado e contínuo no setor financeiro, onde os perpetradores estabelecem uma profunda persistência antes de executar drenagens de capital em massa e coordenadas.

Leia Também:US Sanções à Coreia do Norte por Roubo de Criptoativos

Implicações para Custódia de Ativos Digitais

A revelação de que o grupo Lazarus implantou campanhas de trojans sem arquivo em tal escala exige uma recalibração imediata das posturas de segurança em todo o ecossistema fintech.

Porque o RemotePE evita a detecção baseada em disco, as organizações que utilizam revisões padrão de cadeia de suprimentos em SaaS ou soluções tradicionais de EDR permanecem criticamente expostas.

O paradigma de defesa deve mudar rapidamente em direção à análise comportamental e à forense em memória. Fornecedores de segurança especializados em detecção de ameaças em nível de RAM são agora parceiros essenciais para custodians de criptomoedas, exchanges e protocolos DeFi.

Além disso, o treinamento sobre a impersonação de funcionários em plataformas de comunicação como o Telegram não é mais uma higiene opcional, é um controle de segurança vital.

As ramificações financeiras provavelmente se estenderão ao mercado de seguros cibernéticos. Os subscritores podem em breve exigir prova de capacidades defensivas avançadas e baseadas em memória antes de emitir cobertura para custodiante de ativos digitais, alterando fundamentalmente o custo base de segurança na era Web3.

Para sobreviver à mais recente ameaça do Grupo Lazarus, as instituições financeiras devem modernizar imediatamente seus modelos de ameaça. Em 2026, assumir que uma rede é segura simplesmente porque seus discos estão limpos é uma vulnerabilidade que nenhuma empresa de criptomoeda pode se dar ao luxo de explorar.

Leia Também:O Roubo de $3 Milhões em XRP: Aqui Está a História

FAQ

Qual é a mais recente ameaça do Grupo Lazarus?

A última ameaça do Lazarus Group é o RemotePE, um Trojan de Acesso Remoto (RAT) "somente em memória" ou sem arquivos, altamente sofisticado. Diferente do malware tradicional, o RemotePE é executado inteiramente dentro da RAM de um sistema e nunca grava dados no disco rígido físico, permitindo que ele contorne facilmente o software antivírus padrão e os sistemas de Detecção e Resposta de Endpoint (EDR).

Como o Grupo Lazarus implantou o trojan sem arquivo?

O Grupo Lazarus implantou o trojan sem arquivo usando uma combinação de engenharia social e links de agendamento falsos. Os atacantes se passam por funcionários de empresas de trading no Telegram e enviam links maliciosos disfarçados como links de reuniões legítimos do Calendly ou Picktime. Uma vez clicado, um carregador em três etapas (começando com o DPAPILoader) injeta silenciosamente o malware diretamente na memória do sistema.

O que é o malware RemotePE e como ele funciona?

O RemotePE é um tipo de malware projetado para permitir que um invasor execute código remoto em sistemas comprometidos. Esse malware geralmente se infiltra em computadores através de métodos como phishing, downloads maliciosos ou exploração de vulnerabilidades de software.

Uma vez instalado, o RemotePE permite que o invasor tenha controle total do sistema afetado. Ele pode executar comandos, roubar dados, instalar outros malwares ou até usar o computador como parte de uma botnet para realizar ataques em larga escala.

O funcionamento típico do RemotePE envolve:

• Execução remota: O invasor usa um servidor de comando e controle (C&C) para enviar instruções ao malware, que então as executa no sistema infectado.
• Persistência: O malware é projetado para se reinstalar ou se reter mesmo após tentativas de remoção, garantindo que o invasor mantenha o acesso ao sistema.
• Rastreamento e coleta de dados: O RemotePE pode estar configurado para capturar informações sensíveis, como senhas, dados bancários e outros dados confidenciais do usuário.

RemotePE é um trojan de acesso remoto residente na memória usado por hackers patrocinados pelo estado norte-coreano. Ele funciona utilizando técnicas avançadas de evasão, como o patching do Event Tracing for Windows (ETW) para suprimir alertas de segurança. Uma vez ativo na RAM, ele concede aos atacantes controle total sobre a rede comprometida, permitindo que executem comandos, gerenciem processos ativos e roubem credenciais sensíveis.

Como quanto de criptomoeda o Grupo Lazarus roubou em 2026?

De acordo com dados de inteligência de blockchain da TRM Labs, o Grupo Lazarus roubou aproximadamente $577 milhões em criptomoedas durante apenas os primeiros quatro meses de 2026. Esse número impressionante representa cerca de 76% de todo o roubo global de criptomoedas registrado durante esse período, fazendo com que o total estimado de saques do grupo desde 2017 ultrapasse os $6 bilhões.

Como as organizações podem detectar malware sem arquivo como o RemotePE?

Porque o malware sem arquivo não deixa pegadas digitais no disco rígido de um computador, as organizações não podem confiar em ferramentas de antivírus tradicionais de varredura de disco. Defender-se contra o RemotePE requer a implementação de forense avançada de memória, detecção de anomalias comportamentais e protocolos de segurança rigorosos em relação às comunicações corporativas em aplicativos de mensagens de terceiros, como o Telegram.