朝鮮黑客組織 Lazarus 部署無文件木馬 RemotePE，攻擊加密公司和銀行

ChainCatcher 消息，据 Cryptopolitan 報導，網絡安全分析師發現了一種名為 RemotePE 的新型無文件遠程訪問木馬 (RAT)。据信與朝鮮有關聯的網絡犯罪組織 Lazarus Group 正在利用該木馬攻擊銀行和加密貨幣公司。該木馬完全在內存中運行，傳統殺毒和取證工具難以檢測。攻擊者通過 Telegram 冒充交易公司員工，使用偽造的 Calendly 和 Picktime 鏈接進行社交工程攻擊。惡意軟件通過 DPAPILoader、RemotePELoader 和 RemotePE 三個階段鏈式加載，整個過程不接觸文件系統，利用進程挖空、反分析檢查和加密 C2 通信規避檢測。

該惡意軟件於 2025 年 9 月首次被發現。2026 年前四個月，Lazarus 組織已竊取約 5.77 億美元加密資產，占全球加密盜竊總額的 76%。自 2017 年以來，該組織累計竊取金額已達 60 億美元。