O grupo Lazarus voltou a chamar atenção da comunidade de segurança cibernética após pesquisadores identificarem uma nova campanha avançada baseada no malware RemotePE, um RAT multiplataforma que opera diretamente na memória do sistema. A ameaça mira principalmente empresas do setor financeiro, plataformas de criptomoedas e organizações ligadas ao ecossistema DeFi.
A operação preocupa especialistas porque o RemotePE utiliza técnicas modernas de execução fileless, reduzindo drasticamente os rastros deixados no disco rígido e dificultando a detecção por antivírus e soluções tradicionais de monitoramento. Além disso, os ataques combinam engenharia social sofisticada com mecanismos avançados de evasão no Windows.
Nos últimos anos, o grupo Lazarus ficou conhecido por campanhas de espionagem, roubo de ativos digitais e ataques contra exchanges de criptomoedas. Agora, a descoberta do novo malware mostra que os operadores continuam refinando suas ferramentas para comprometer vítimas de maneira cada vez mais furtiva e eficiente.
Como funciona a cadeia de infecção do malware RemotePE
Os pesquisadores descobriram que o ataque acontece em múltiplos estágios cuidadosamente planejados para evitar detecção e dificultar análises forenses.
Tudo começa com uma abordagem direcionada às vítimas. Após conquistar a confiança do alvo, os operadores induzem a execução de arquivos aparentemente legítimos que iniciam a cadeia de carregamento do malware.
A partir desse momento, o sistema comprometido passa a executar componentes maliciosos diretamente na memória.
DPAPILoader e a descriptografia inicial
O primeiro estágio identificado envolve um componente chamado DPAPILoader. Esse módulo utiliza a Data Protection API (DPAPI) do Windows para descriptografar cargas maliciosas ocultas.
Ao aproveitar recursos legítimos do próprio sistema operacional, o malware reduz comportamentos suspeitos e dificulta a identificação por ferramentas de segurança.
O componente também evita gravações desnecessárias no disco, característica comum em ataques fileless modernos. Isso torna a infecção mais discreta e complica investigações posteriores.
Segundo os pesquisadores, essa etapa funciona como um carregador intermediário responsável por preparar o ambiente para a execução do núcleo principal do malware.
RemotePELoader e o bypass de defesas
Na segunda fase do ataque, entra em ação o RemotePELoader, responsável por carregar o malware RemotePE diretamente na memória do sistema comprometido.
Esse módulo utiliza técnicas avançadas de evasão, incluindo o método conhecido como Hell’s Gate, usado para realizar chamadas diretas ao kernel do Windows sem passar pelas APIs normalmente monitoradas por soluções de segurança.
Os pesquisadores também identificaram tentativas de bypass do Event Tracing for Windows (ETW), mecanismo utilizado pelo sistema operacional para registrar atividades suspeitas.
Com isso, o malware consegue reduzir significativamente sua visibilidade dentro do ambiente corporativo, operando de maneira furtiva mesmo em sistemas protegidos por soluções EDR modernas.
O malware fileless RemotePE e suas capacidades
O grande diferencial do RemotePE está em sua arquitetura baseada em memória. Diferente de ameaças tradicionais, ele executa grande parte de suas funções diretamente na RAM, minimizando vestígios permanentes no sistema.
Na prática, isso significa que o malware pode permanecer ativo durante longos períodos sem chamar atenção de ferramentas convencionais de detecção.
Entre as capacidades identificadas pelos pesquisadores estão:
- Execução remota de comandos
- Roubo de credenciais
- Coleta de informações sensíveis
- Movimentação lateral na rede
- Persistência furtiva
- Exclusão segura de arquivos
Um dos recursos mais agressivos observados é a capacidade de sobrescrever arquivos múltiplas vezes antes da exclusão definitiva. Essa técnica dificulta a recuperação de dados e atrapalha análises forenses.
Especialistas também destacam que o uso de malware fileless vem crescendo rapidamente entre grupos patrocinados por estados nacionais e organizações criminosas avançadas, justamente pela dificuldade de detecção.
Engenharia social no Telegram inicia os ataques
Apesar da sofisticação técnica, o ponto inicial da campanha continua sendo a manipulação humana.
Os operadores do grupo Lazarus utilizam o Telegram para entrar em contato com funcionários de empresas financeiras, desenvolvedores blockchain e profissionais ligados ao mercado de criptomoedas.
Os criminosos se passam por recrutadores, parceiros comerciais ou representantes corporativos legítimos. Em seguida, enviam convites para reuniões falsas usando plataformas populares como Calendly e Picktime.
Essas reuniões simuladas servem como pretexto para convencer a vítima a baixar arquivos maliciosos ou executar conteúdos comprometidos.
A estratégia funciona porque explora confiança, rotina corporativa e pressão profissional, especialmente em ambientes remotos onde contatos virtuais se tornaram comuns.
Para especialistas em segurança, o uso combinado de engenharia social e malware baseado em memória representa uma das ameaças mais difíceis de detectar atualmente.
Conclusão e impactos para a segurança digital
A descoberta do RemotePE reforça como campanhas modernas de ciberespionagem e roubo financeiro estão se tornando mais sofisticadas. O uso de execução em memória, técnicas avançadas de evasão e engenharia social mostra que o grupo Lazarus continua evoluindo suas operações contra o setor financeiro e o mercado de criptomoedas.
Empresas que atuam com ativos digitais, blockchain e serviços financeiros precisam fortalecer políticas internas de segurança, monitoramento comportamental e treinamento contra ataques de engenharia social.
Ferramentas tradicionais baseadas apenas em assinaturas já não oferecem proteção suficiente contra ameaças fileless modernas. Monitoramento de memória, análise comportamental e políticas rígidas de comunicação externa se tornaram medidas essenciais.
Além disso, profissionais devem desconfiar de contatos inesperados via Telegram, reuniões suspeitas e arquivos compartilhados fora dos canais corporativos oficiais.
O avanço do malware RemotePE mostra que o futuro da segurança digital dependerá cada vez mais da capacidade das empresas em detectar atividades anômalas invisíveis aos métodos tradicionais.