Expertos en ciberseguridad han detectado una nueva cepa de malware desplegada por el Grupo Lazarus vinculado a Corea del Norte. Esta herramienta de acceso remoto (RAT) “RemotePE” sin archivos apunta específicamente a bancos y empresas de criptomonedas. Descubierto en septiembre de 2025, el malware opera completamente en memoria, lo que hace que los sistemas de seguridad convencionales tengan una capacidad de detección excepcionalmente baja, ya que prácticamente no deja rastros en las máquinas infectadas.
Estrategia de ingeniería social del Grupo Lazarus
Los ataques del Grupo Lazarus a menudo comienzan con una sofisticada ingeniería social. Haciéndose pasar por empleados de firmas de inversión en Telegram, los atacantes inician el contacto y envían solicitudes de reunión falsas a través de plataformas como Calendly y Picktime. Después de la reunión inicial, los atacantes continúan con una secuencia de pasos que culminan en la instalación del software malicioso en el dispositivo de la víctima. Este enfoque de “factor humano” aumenta significativamente las posibilidades de una brecha exitosa.
El Grupo Lazarus explota la ingeniería social atrayendo a las víctimas hacia relaciones de confianza, permitiendo la primera etapa de instalación del malware. El ataque progresa a través de una cadena dirigida y de múltiples pasos para un impacto máximo.
En la fase inicial, se activa una biblioteca de enlace dinámico (DLL) llamada DPAPILoader. Este componente utiliza la Interfaz de Programación de Aplicaciones de Protección de Datos (DPAPI) de Windows para descifrar la carga útil de la siguiente etapa almacenada en el disco. El RemotePELoader luego recupera esta carga útil a través de HTTP desde un servidor remoto de Comando y Control (C2) y la carga directamente en la memoria. Finalmente, el principal malware RemotePE golpea, activándose únicamente en la memoria e interactuando poco con el sistema de archivos.
Mini glosario: Un servidor C2 (Comando y Control) es un centro central utilizado por atacantes para gestionar de forma remota el malware, intercambiar instrucciones y transmitir datos robados.
Cadena de ataque de próxima generación en tres etapas
RemotePELoader emplea técnicas avanzadas de evasión como Hell’s Gate y ETW Patching para eludir las herramientas de seguridad contemporáneas. Esta arquitectura de tres etapas minimiza la actividad de disco y hace casi imposible rastrear huellas digitales. Después de un incidente recientemente revelado, los investigadores encontraron que la infraestructura de una empresa de finanzas descentralizadas (DeFi) fue comprometida a través del uso secuencial de tres herramientas de acceso remoto: RemotePE, PondRAT y ThemeForestRAT.
| Herramienta de Ataque | Año de Uso | Dificultad de Detección | Sector Objetivo |
|---|---|---|---|
| RemotePE | 2025-2026 | Muy alta | Cripto, Banca |
| PondRAT | 2025 | Alta | DeFi, Finanzas |
| ThemeForestRAT | 2025 | Alta | Finanzas |
Historial y análisis técnico del Grupo Lazarus en 2026
El análisis de Fox-IT muestra que el uso de DPAPI por parte de RemotePE para la gestión de claves, sus operaciones exclusivas basadas en memoria y técnicas avanzadas de evasión como ETW Patching y Hell’s Gate lo hacen casi inmune a las herramientas estándar de detección y análisis. Estos rasgos revelan que los escaneos anti-malware convencionales son en gran medida ineficaces. Además, se descubrió que el Grupo Lazarus robó un total de 577 millones de dólares en criptomonedas en solo dos grandes hackeos, representando el 76% de todos los robos de criptomonedas a nivel mundial en los primeros cuatro meses de 2026.
TRM Labs informa que hackers vinculados a Corea del Norte robaron 577 millones de dólares en activos digitales en solo dos incidentes durante los primeros cuatro meses de 2026, empujando la participación de Corea del Norte en robos de criptomonedas a su nivel más alto en los últimos años.
Mientras que los actores norcoreanos representaron el 64% de los hackeos de criptomonedas en 2025, su participación aumentó a 76% en 2026. Desde 2017, el valor acumulado de criptomonedas robadas ha alcanzado los 6 mil millones de dólares, alimentando acusaciones de que estos fondos financian los programas de armas y nucleares sancionados del país.
Ataques impulsados por IA y vulnerabilidades de software
A medida que los comerciantes de activos digitales y desarrolladores recurren cada vez más a la inteligencia artificial para operaciones simplificadas, los atacantes también están aprovechando técnicas basadas en IA. Los expertos han revelado una violación masiva de datos que afecta a más de 700 sitios que ejecutan el sistema de gestión de contenido Ghost, causada por una vulnerabilidad crítica de inyección SQL.
Como resultado, se capturaron nombres de usuario y contraseñas administrativas, lo que permitió que el software malicioso se extendiera a través de canales de distribución como ClickFix. La lista de objetivos incluye universidades, proyectos de IA, proveedores de servicios de blockchain, empresas de software y startups fintech. Las víctimas que ejecutan código encriptado en Base64 suministrado a través de falsos mensajes CAPTCHA descargan sin saberlo archivos cargados de malware.
Versiones anteriores del malware se desplegaron utilizando la utilidad “rundll32.exe” de Windows, pero más recientemente, los atacantes han utilizado la aplicación Grape basada en Electron de código abierto para infiltrarse en sistemas. Una vez instalado, el malware se conecta a su dominio C2 cada 30 segundos para recibir nuevos comandos.
