RemotePE, il RAT stealth di Lazarus che opera solo in memoria contro finanza e crypto

I ricercatori di Fox-IT hanno scoperto RemotePE, un nuovo Remote Access Trojan sviluppato dal Lazarus Group che opera interamente in memoria senza mai scrivere payload permanenti sul disco. Il report pubblicato il 22 maggio 2026 descrive una piattaforma malware avanzata composta da DPAPILoader, RemotePELoader e dal RAT finale RemotePE, progettata per colpire organizzazioni finanziarie e aziende legate al settore delle criptovalute. Il framework sostituisce malware più rumorosi come ThemeForestRAT e PondRAT quando gli operatori nordcoreani individuano target di alto valore. L’architettura sfrutta Windows DPAPI, reflective PE loading tramite libpeconv, evasione syscall e disattivazione di ETW per mantenere accessi persistenti con footprint forense minimo e capacità stealth avanzate.

Lazarus utilizza una catena malware a tre stadi

L’intero framework RemotePE è costruito attorno a una catena di infezione multilivello progettata per separare persistenza, evasione e controllo remoto. Il primo stadio è DPAPILoader, incaricato di decifrare il payload successivo attraverso il sistema di protezione dati di Windows. Il secondo stadio è RemotePELoader, componente che comunica con il server di comando e recupera il RAT finale. L’ultimo livello è rappresentato proprio da RemotePE, il malware che fornisce capacità complete di spionaggio e controllo remoto operando esclusivamente in memoria. Secondo gli analisti di Fox-IT, questa evoluzione viene osservata durante diversi engagement di incident response contro obiettivi finanziari. Le sovrapposizioni infrastrutturali e operative collegano il framework ai cluster AppleJeus, Citrine Sleet, UNC4736 e Gleaming Pisces, tutti associati all’ecosistema offensivo del Lazarus Group. La scelta di utilizzare malware completamente memory-resident indica una maturità operativa sempre più elevata da parte del gruppo nordcoreano.

DPAPILoader usa Windows DPAPI per legare il payload alla vittima

Il primo stadio della catena malware è DPAPILoader, una DLL che stabilisce persistenza utilizzando tecniche di masquerading contro i servizi Windows. Il componente viene installato nel percorso C:\Windows\System32\Iassvc.dll e registra un servizio chiamato Internet Authentication Service, sfruttando naming e struttura molto simili al legittimo servizio IAS di Windows Server. L’avvio automatico avviene tramite svchost.exe durante il boot del sistema. Una volta eseguito, il loader verifica di operare effettivamente sotto svchost e inizia la scansione della directory C:\ProgramData\Microsoft\Windows\DeviceMetadataStore\en-US alla ricerca di file sospetti. Il malware ignora i file che iniziano con il magic byte MSCF tipico dei cabinet Microsoft e scarta quelli inferiori a 51200 byte. I file individuati vengono decifrati attraverso Windows DPAPI e successivamente elaborati con una chiave XOR 0x8D. Il payload risultante viene quindi caricato direttamente in memoria tramite la libreria open source libpeconv, senza necessità di scrittura permanente sul filesystem. Fox-IT osserva anche varianti alternative del loader con nomi come sspicli.dll e wmiclnt.dll, oltre a versioni che incorporano direttamente il payload cifrato all’interno della DLL iniziale.

L’environmental keying impedisce analisi statiche efficaci

Uno degli elementi tecnici più sofisticati di RemotePE riguarda l’utilizzo di environmental keying tramite DPAPI. La cifratura lega il payload alle chiavi dell’account utente specifico della vittima, rendendo il file praticamente inutilizzabile su altri sistemi. Questo approccio impedisce analisi statiche tradizionali e riduce l’efficacia di molti sistemi di rilevamento basati su hash. Ogni deployment produce infatti un blob cifrato differente e unico per l’ambiente compromesso. Senza accesso alle chiavi DPAPI originali, il contenuto del payload non può essere decifrato in modo utile. Gli analisti di Fox-IT riescono a recuperare il malware soltanto tramite immagini forensi complete contenenti le chiavi DPAPI del sistema compromesso. Questa tecnica riduce drasticamente anche l’utilità dell’upload su VirusTotal, complicando notevolmente reverse engineering e classificazione automatica.

RemotePELoader implementa evasione syscall e disabilita ETW

Dopo la decifratura del payload, entra in esecuzione RemotePELoader, componente specializzato nel recupero del RAT finale e nell’applicazione delle tecniche di evasione avanzata. Il loader avvia thread dedicati alla lettura della configurazione condivisa, alla comunicazione con il server C2 e all’implementazione delle contromisure contro gli strumenti di sicurezza. Il malware utilizza la variante TartarusGate di HellsGate per risolvere dinamicamente i numeri di syscall direttamente da ntdll.dll. Questo permette di invocare funzioni come NtOpenSection, NtMapViewOfSection, NtUnmapViewOfSection, NtProtectVirtualMemory e NtClose bypassando molti hook userland installati dagli strumenti EDR. Parallelamente il loader rimappa DLL direttamente dal namespace kernel KnownDlls sostituendo copie eventualmente hookate in memoria. Uno degli aspetti più aggressivi riguarda la manipolazione di EtwEventWrite. Il malware patcha la funzione scrivendo istruzioni equivalenti a XOR RAX,RAX seguite da RET, disabilitando completamente la generazione di eventi ETW e riducendo drasticamente la telemetria disponibile ai sistemi di monitoraggio.

RemotePELoader usa polling HTTP cifrato per recuperare il RAT finale

Il componente RemotePELoader gestisce anche la configurazione cifrata e il polling verso l’infrastruttura di comando e controllo. Il file di configurazione contiene parametri come URL C2 multipli, intervalli di sleep, timestamp di wake-up, proxy opzionali, credenziali e user-agent HTTP personalizzati. Dopo aver applicato le evasioni, il loader decifra la configurazione ancora una volta tramite DPAPI e XOR 0x8D. Le comunicazioni verso il server avvengono tramite richieste HTTP POST contenenti cookie personalizzati che includono bot ID, valori randomizzati e il flag at_check per il check-in iniziale. Il server restituisce un identificativo di sessione che viene poi utilizzato nelle comunicazioni successive attraverso il cookie ai_session. Quando l’operatore decide di distribuire il payload finale, il C2 invia un oggetto JSON contenente RemotePE cifrato tramite AES-GCM e codificato in Base64. L’intero processo evidenzia una struttura actor-in-the-loop in cui il rilascio del malware finale avviene solo tramite intervento manuale dell’operatore, riducendo l’esposizione automatica del framework.

RemotePE opera interamente in memoria con reflective loading

Il RAT finale RemotePE viene caricato tramite reflective loading e verifica di essere stato eseguito correttamente dal loader controllando il parametro lpReserved all’interno di DllMain. Una volta operativo, il malware avvia due thread principali chiamati IChannelController e IMiddleController. Il primo gestisce la comunicazione con il server C2 mentre il secondo elabora i comandi remoti ricevuti. L’intera struttura opera completamente in memoria senza generare file permanenti sul sistema compromesso. Quando il server termina la sessione, il malware può andare in sleep oppure terminare completamente in base alla configurazione ricevuta. Il RAT utilizza inoltre un particolare event Windows GUID 554D5C1F-AABE-49E4-AB57-994D22ECED28 per il wake-up remoto immediato senza creare direttamente l’evento sul sistema, riducendo ulteriormente la possibilità di rilevamento tramite monitoraggio standard.

RemotePE integra funzioni avanzate di spionaggio e gestione file

Le capacità operative del RAT coprono sei grandi categorie funzionali. Il modulo IConfigProfile consente lettura e aggiornamento della configurazione C2. IConsole permette esecuzione comandi shell, gestione directory, caricamento moduli e invocazione dinamica di funzioni. Il componente IFileExplorer gestisce enumerazione drive, lettura file, scrittura, rinomina, cancellazione e compressione ZIP. La cancellazione implementa sovrascrittura multipla del contenuto tramite sette passaggi differenti, tecnica già osservata in malware Lazarus come PondRAT e POOLRAT. Il modulo IProcess consente enumerazione e terminazione processi oltre alla creazione di nuovi processi anche tramite impersonificazione utente. ITimer controlla sleep persistente e terminazione del malware mentre IPing implementa funzionalità keep-alive minime. Particolarmente importante è il supporto ai plugin dinamici. RemotePE può ricevere DLL reflective shellcodified direttamente dal server C2, registrarle, eseguirle e scaricarle a runtime senza necessità di installazione tradizionale.

Il traffico C2 imita telemetria Microsoft per ridurre il rilevamento

Le comunicazioni di RemotePE utilizzano una struttura chiamata C2Message che combina SplitMix64, cifratura AES-GCM e payload compressi tramite MSZIP. I comandi vengono inviati in batch delimitati dal simbolo $ e includono identificativi funzione, request ID e payload operativi. Le risposte vengono inserite nel campo JSON armAuthorization mentre cookie come MSCC, MicrosoftApplicationsTelemetryDeviceId, MSFPC e HASH simulano traffico Microsoft legittimo. Il server distingue il loader dal RAT finale tramite cookie differenti come MS0 e MUID. Questa imitazione della telemetria Microsoft riduce significativamente la probabilità che il traffico venga classificato come anomalo durante monitoraggi di rete standard o sistemi di anomaly detection.

Lazarus perfeziona malware stealth per operazioni finanziarie

Fox-IT recupera quattro varianti differenti di RemotePE con timestamp compresi tra luglio 2023 e metà 2024, segnale di uno sviluppo continuo e strutturato. Le modifiche riguardano soprattutto il caricamento della configurazione e la generazione del bot ID. Nessun campione di RemotePELoader o RemotePE compare su VirusTotal al momento dell’analisi, dimostrando l’efficacia delle tecniche stealth implementate dal gruppo. Le infrastrutture C2 risultano ospitate su servizi Namecheap condivisi e mostrano pattern compatibili con operatori attivi durante l’orario coreano. Gli indicatori di compromissione includono DLL mascherate come Iassvc.dll, sspicli.dll e wmiclnt.dll, il servizio Internet Authentication Service, file cifrati nella directory DeviceMetadataStore e traffico HTTP contenente cookie anomali come armAuthorization. Il framework mostra il livello di maturità raggiunto dal sottogruppo Lazarus nello sviluppo di malware altamente specializzati. DPAPILoader lega il payload all’ambiente vittima, RemotePELoader implementa evasione e controllo operatore, mentre RemotePE fornisce capacità offensive complete senza lasciare artefatti permanenti sul disco. Per organizzazioni finanziarie e piattaforme crypto questo significa affrontare una minaccia progettata specificamente per operazioni stealth di lunga durata orientate a furto dati e compromissioni economiche ad alto impatto.