Los investigadores de Fox-IT (una división de NCC Group) han publicado un análisis detallado del framework malicioso multietapa RemotePE, un troyano de acceso remoto que, según la evaluación de los investigadores, es utilizado por el grupo Lazarus Group, vinculado a Corea del Norte, para atacar a organizaciones financieras y de criptomonedas. La característica clave de RemotePE es que se ejecuta íntegramente en la memoria RAM sin escritura en disco, lo que lo hace prácticamente invisible para las soluciones tradicionales de protección de endpoints. Las organizaciones de los sectores DeFi, criptomonedas y servicios financieros deberían comprobar de inmediato su infraestructura en busca de indicadores de compromiso relacionados con esta campaña.

Cadena de infección en múltiples etapas

Según Fox-IT, el framework RemotePE consta de tres etapas consecutivas, cada una de las cuales cumple una función específica dentro de la cadena de entrega de la carga útil:

• DPAPILoader (archivo «Iassvc.dll»): primer cargador que descifra y carga desde disco la carga útil cifrada utilizando el mecanismo nativo de Windows, la Data Protection API (DPAPI). El artefacto más antiguo de DPAPILoader identificado hasta ahora data de noviembre de 2023.
• RemotePELoader: carga útil descifrada de segunda etapa, que establece una conexión HTTP con el servidor de mando y control (C2), descarga el módulo principal y lo ejecuta en memoria.
• RemotePE: troyano de acceso remoto final, escrito en C++, que recibe instrucciones del servidor de mando y control y se ejecuta exclusivamente en la memoria RAM, sin dejar rastros en el sistema de archivos.

El uso de DPAPI para el descifrado es una decisión muy calculada: la carga útil cifrada queda ligada a una máquina y cuenta de usuario concretas, lo que hace imposible su descifrado en otro host y complica significativamente el análisis en entornos aislados.

Técnicas de evasión de la detección

Antes de cargar el módulo final, RemotePELoader aplica varias técnicas de evasión. Según los investigadores, el cargador recurre al método Hell’s Gate, una técnica de llamadas directas al sistema que permite eludir los hooks instalados en modo usuario por soluciones de tipo EDR. Además, RemotePELoader parchea el mecanismo Event Tracing for Windows (ETW), neutralizando la telemetría en la que se apoyan muchas herramientas de monitorización.

La combinación de ejecución sin archivos (fileless), vinculación al entorno mediante DPAPI, evasión de EDR y supresión de ETW conforma un conjunto integral de medidas antiforenses y anti-detección. Según Fox-IT, ni RemotePELoader ni RemotePE habían sido subidos a VirusTotal en el momento de la publicación del informe, un indicador indirecto de que la herramienta se ha utilizado de forma selectiva contra un número limitado de objetivos.

Capacidades del troyano RemotePE

El módulo final RemotePE es un troyano de acceso remoto plenamente funcional que admite seis categorías de comandos:

• Gestión de la configuración del servidor C2 (obtención y modificación)
• Gestión del directorio de trabajo y de módulos DLL (registro, descarga, enumeración)
• Operaciones sobre archivos
• Gestión de procesos (enumeración, creación, finalización por identificador)
• Gestión del estado (paso a modo de espera durante un intervalo definido o finalización de la ejecución)
• Comprobación de conectividad con el servidor (ping)

El mecanismo de eliminación de archivos merece una atención especial: antes de borrar cada archivo, este se sobrescribe con bytes constantes siete veces, después se renombra y solo entonces se elimina. Según los investigadores, este patrón de sobrescritura por siete pasadas es idéntico al comportamiento observado anteriormente en PondRAT y POOLRAT (también conocido como SIMPLESEA), herramientas que se asocian con el mismo clúster de actividad.

Contexto de la campaña y atribución

Fox-IT mencionó por primera vez RemotePE en septiembre de 2025 en el contexto de un ataque contra una organización no identificada del sector de las finanzas descentralizadas (DeFi). En ese incidente, según se informa, se desplegaron tres familias de malware: PondRAT, ThemeForestRAT y RemotePE.

El vector inicial de intrusión fue la ingeniería social. Los atacantes contactaron con un empleado de la organización objetivo a través de Telegram, haciéndose pasar por un trabajador de una empresa de trading, y concertaron una reunión utilizando dominios falsos que imitaban los servicios Calendly y Picktime.

Los investigadores de Fox-IT obtuvieron cuatro muestras de RemotePE, cuyo análisis señala un desarrollo activo del troyano desde mediados de 2023 hasta mediados de 2024. La muestra más antigua tiene una marca de tiempo del 4 de julio de 2023.

Aclaración importante: la atribución de esta actividad al grupo Lazarus se basa en el análisis de una única fuente de investigación, Fox-IT. En el momento de la publicación no se dispone de confirmación independiente de este vínculo por parte de organismos gubernamentales u otras organizaciones de investigación. No obstante, la coincidencia del patrón de eliminación de archivos con herramientas previamente documentadas de este clúster y el característico foco en el sector de las criptomonedas hacen que esta evaluación resulte fundamentada.

Indicadores de compromiso

A partir del análisis publicado, se dispone del siguiente indicador de red:

• Dominio C2: aes-secure[.]net — utilizado por RemotePELoader para descargar el módulo final a través de HTTP

Recomendaciones de protección

Dado el carácter fileless de RemotePE y las técnicas de evasión empleadas, las medidas de protección estándar pueden resultar insuficientes. Se recomiendan las siguientes acciones:

• Monitorización de red: añadir el dominio aes-secure[.]net a las listas de bloqueo a nivel de DNS y de servidores proxy. Configurar alertas para las conexiones HTTP hacia este dominio.
• Control de DPAPI: monitorizar llamadas anómalas a CryptUnprotectData desde procesos no habituales, ya que pueden indicar la actividad de DPAPILoader. Prestar atención a la carga de DLL con el nombre «Iassvc.dll» desde ubicaciones no estándar.
• Protección frente al parcheo de ETW: utilizar soluciones capaces de detectar la modificación en tiempo de ejecución de proveedores ETW. Algunas plataformas EDR modernas ofrecen esta funcionalidad.
• Monitorización de comportamiento en memoria: desplegar o reforzar herramientas de detección de amenazas sin archivos, incluyendo el análisis de patrones anómalos de asignación de memoria y de llamadas directas al sistema (características de Hell’s Gate).
• Contramedidas frente a la ingeniería social: llevar a cabo acciones específicas de concienciación para el personal que trabaja con criptoactivos sobre tácticas de contacto vía Telegram utilizando dominios falsos para la planificación de reuniones.
• Análisis retrospectivo: revisar los registros de red desde noviembre de 2023 en busca de conexiones al dominio C2 indicado.

El framework RemotePE demuestra una inversión claramente dirigida en herramientas para lograr una presencia encubierta y de largo plazo en la infraestructura de organizaciones financieras. Su bajo nivel de detección y el uso selectivo indican que este conjunto de herramientas se reserva para objetivos de alto valor. Las organizaciones de los sectores de criptomonedas y financiero deberían priorizar la revisión de sus registros de red en busca de conexiones a aes-secure[.]net, reforzar la monitorización de operaciones anómalas con DPAPI y asegurarse de que sus soluciones EDR son capaces de detectar técnicas de llamadas directas al sistema y de parcheo de ETW.