Analyse von RemotePE: Speicherresidenter RAT gegen Krypto- und Finanzziele

Foto des Autors

CyberSecureFox Editorial Team

Forschende von Fox-IT (einer Tochter der NCC Group) haben eine detaillierte Analyse des mehrstufigen schädlichen Frameworks RemotePE veröffentlicht – eines Remote-Access-Trojaners, der nach Einschätzung der Forschenden von der mit Nordkorea in Verbindung gebrachten Gruppierung Lazarus Group für Angriffe auf Finanz- und Kryptowährungsorganisationen eingesetzt wird. Die zentrale Besonderheit von RemotePE ist seine vollständig im Arbeitsspeicher ablaufende Ausführung ohne Schreibzugriffe auf die Festplatte, was ihn für herkömmliche Endpoint-Sicherheitslösungen nahezu unsichtbar macht. Organisationen aus den Bereichen DeFi, Kryptowährungen und Finanzdienstleistungen sollten ihre Infrastruktur umgehend auf mit dieser Kampagne verbundene Indikatoren einer Kompromittierung überprüfen.

Mehrstufige Infektionskette

Nach Angaben von Fox-IT umfasst das RemotePE-Framework drei aufeinanderfolgende Stufen, von denen jede eine spezifische Funktion in der Lieferkette der Payload erfüllt:

  • DPAPILoader (Datei „Iassvc.dll“) – der erste Loader, der die verschlüsselte Payload von der Festplatte entschlüsselt und lädt, wobei er den nativen Windows-Mechanismus Data Protection API (DPAPI) verwendet. Das früheste entdeckte Artefakt von DPAPILoader datiert auf den November 2023.
  • RemotePELoader – die entschlüsselte Payload der zweiten Stufe, die eine Verbindung zum Command-and-Control-Server über das HTTP-Protokoll aufbaut, das Hauptmodul herunterlädt und dieses im Speicher ausführt.
  • RemotePE – der finale Remote-Access-Trojaner, geschrieben in C++, der Anweisungen vom Command-and-Control-Server erhält und ausschließlich im Arbeitsspeicher ausgeführt wird, ohne Spuren im Dateisystem zu hinterlassen.

Die Nutzung von DPAPI zur Entschlüsselung ist eine durchdachte Wahl: Die verschlüsselte Payload ist an die konkrete Maschine und das jeweilige Benutzerkonto gebunden, was eine Entschlüsselung auf einem anderen Host unmöglich macht und die Analyse in isolierten Umgebungen erheblich erschwert.

Techniken zur Umgehung von Schutzmechanismen

Vor dem Laden des finalen Moduls setzt RemotePELoader mehrere Techniken zur Umgehung der Erkennung ein. Wie die Forschenden berichten, nutzt der Loader die Methode Hell’s Gate – eine Technik direkter Systemaufrufe, die es ermöglicht, Hooks zu umgehen, die von EDR-Lösungen im User Mode gesetzt werden. Außerdem patcht RemotePELoader den Mechanismus Event Tracing for Windows (ETW) und neutralisiert damit die Telemetrie, auf die sich viele Monitoring-Lösungen stützen.

Die Kombination aus fileloser Ausführung, Umweltbindung über DPAPI, EDR-Umgehung und Unterdrückung von ETW bildet ein umfassendes Set an Maßnahmen zur Vermeidung von Entdeckung. Nach Einschätzung von Fox-IT waren weder RemotePELoader noch RemotePE bis zum Zeitpunkt der Veröffentlichung des Berichts bei VirusTotal hochgeladen worden – ein indirekter Hinweis darauf, dass das Tool selektiv gegen eine begrenzte Zahl von Zielen eingesetzt wurde.

Funktionen des RemotePE-Trojans

Das finale RemotePE-Modul ist ein vollwertiger Remote-Access-Trojaner, der sechs Kategorien von Befehlen unterstützt:

  • Verwaltung der C2-Serverkonfiguration (Abruf und Änderung)
  • Verwaltung des Arbeitsverzeichnisses und von DLL-Modulen (Registrierung, Entladen, Auflistung)
  • Dateioperationen
  • Prozessverwaltung (Auflisten, Erzeugen, Beenden per ID)
  • Statusverwaltung (Wechsel in einen Wartezustand für ein vorgegebenes Intervall oder Beenden der Ausführung)
  • Überprüfung der Verbindung zum Server (Ping)

Besondere Beachtung verdient der Mechanismus zum Löschen von Dateien: Vor dem Löschen wird jede Datei mit konstanten Bytes siebenmal überschrieben, anschließend umbenannt und erst dann entfernt. Dieses Muster der siebenfachen Überschreibung ist nach Angaben der Forschenden identisch mit dem Verhalten, das zuvor bei PondRAT und POOLRAT (auch bekannt als SIMPLESEA) beobachtet wurde – Werkzeugen, die demselben Aktivitätscluster zugeschrieben werden.

Kampagnenkontext und Attribution

Fox-IT erwähnte RemotePE erstmals im September 2025 im Zusammenhang mit einem Angriff auf eine nicht namentlich genannte Organisation aus dem Bereich der dezentralisierten Finanzdienstleistungen (DeFi). Im Verlauf dieses Vorfalls sollen drei Malware-Familien eingesetzt worden sein: PondRAT, ThemeForestRAT und RemotePE.

Der anfängliche Angriffsvektor war Social Engineering. Die Angreifenden nahmen über Telegram Kontakt zu einem Mitarbeitenden der Zielorganisation auf, gaben sich als Mitarbeitende eines Handelsunternehmens aus und vereinbarten einen Termin unter Verwendung gefälschter Domains, die die Dienste Calendly und Picktime nachahmten.

Die Forschenden von Fox-IT erhielten vier RemotePE-Samples, deren Analyse auf eine aktive Weiterentwicklung des Trojaners im Zeitraum von Mitte 2023 bis Mitte 2024 hinweist. Das früheste Sample trägt den Zeitstempel 4. Juli 2023.

Wichtiger Hinweis: Die Attribution dieser Aktivität zur Lazarus Group basiert auf der Analyse einer einzigen Forschungsquelle – Fox-IT. Eine unabhängige Bestätigung dieser Zuordnung durch staatliche Stellen oder andere Forschungsorganisationen lag zum Zeitpunkt der Veröffentlichung nicht vor. Dennoch machen die Übereinstimmung der Muster beim Löschen von Dateien mit zuvor dokumentierten Werkzeugen dieses Clusters sowie der charakteristische Fokus auf den Kryptowährungssektor diese Einschätzung plausibel.

Indikatoren einer Kompromittierung

Auf Basis der veröffentlichten Analyse steht der folgende netzwerkbezogene Indikator zur Verfügung:

  • C2-Domain: aes-secure[.]net – wird von RemotePELoader zum Herunterladen des finalen Moduls über HTTP verwendet

Empfehlungen zum Schutz

Angesichts des filelosen Charakters von RemotePE und der eingesetzten Umgehungstechniken könnten Standard-Sicherheitslösungen unzureichend sein. Empfohlene Maßnahmen:

  • Netzwerk-Monitoring: Den Domainnamen aes-secure[.]net auf DNS- und Proxy-Ebene auf Sperrlisten setzen. Alarme für HTTP-Verbindungen zu dieser Domain konfigurieren.
  • Überwachung von DPAPI: Anomale Aufrufe von CryptUnprotectData aus ungewöhnlichen Prozessen überwachen – dies kann auf die Aktivität von DPAPILoader hinweisen. Auf das Laden einer DLL mit dem Namen „Iassvc.dll“ aus nicht standardmäßigen Verzeichnissen achten.
  • Schutz vor ETW-Patching: Lösungen einsetzen, die in der Lage sind, die Modifizierung von ETW-Providern zur Laufzeit zu erkennen. Eine Reihe moderner EDR-Plattformen bietet diese Funktionalität.
  • Überwachung von In-Memory-Verhalten: Werkzeuge zur Erkennung fileloser Bedrohungen implementieren oder ausbauen, einschließlich der Analyse anomaler Muster der Speicherallokation und direkter Systemaufrufe (charakteristisch für Hell’s Gate).
  • Abwehr von Social-Engineering-Angriffen: Zielgerichtete Sensibilisierung von Mitarbeitenden, die mit Krypto-Assets arbeiten, zu Kontaktaufnahmen über Telegram unter Verwendung gefälschter Domains zur Terminvereinbarung durchführen.
  • Retrospektive Analyse: Netzwerkprotokolle seit November 2023 auf Zugriffe auf die genannte C2-Domain überprüfen.

Das RemotePE-Framework zeigt gezielte Investitionen in Werkzeuge für eine langfristige, verdeckte Präsenz in der Infrastruktur von Finanzorganisationen. Die niedrige Entdeckungsrate und der selektive Einsatz deuten darauf hin, dass dieses Toolset für besonders hochwertige Ziele reserviert ist. Organisationen aus dem Krypto- und Finanzsektor sollten die Überprüfung ihrer Netzwerkprotokolle auf Verbindungen zu aes-secure[.]net priorisieren, die Überwachung anomaler DPAPI-Operationen verstärken und sicherstellen, dass die eingesetzten EDR-Lösungen in der Lage sind, Techniken direkter Systemaufrufe und ETW-Patching zu erkennen.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen