Các nhà nghiên cứu an ninh mạng vừa tiết lộ thông tin về một loại mã độc đa nền tảng có tên RemotePE, được nhóm Lazarus có liên kết với Triều Tiên sử dụng trong các cuộc tấn công nhắm vào các tổ chức tài chính và tiền điện tử.
Theo Fox-IT, một công ty con của NCC Group, RemotePE là một phần của chuỗi tấn công nhiều giai đoạn bao gồm hai trình tải (loader) được theo dõi với tên gọi DPAPILoader và RemotePELoader.
"DPAPILoader giải mã và tải RemotePELoader từ đĩa cứng bằng cách sử dụng Windows Data Protection API (DPAPI). RemotePELoader kết nối với máy chủ C2 và chờ đợi cho đến khi nhận được giai đoạn tiếp theo: RemotePE, một RAT được thực thi hoàn toàn trong bộ nhớ và không bao giờ được ghi xuống đĩa, không để lại dấu vết trên hệ thống tệp." — Các nhà nghiên cứu bảo mật Yun Zheng Hu và Mick Koomen cho biết.
RemotePE lần đầu tiên được đơn vị bảo mật này nêu bật vào tháng 9 năm 2025 trong một cuộc tấn công nhắm vào một tổ chức giấu tên trong lĩnh vực tài chính phi tập trung (DeFi), dẫn đến việc triển khai ba họ mã độc bao gồm PondRAT, ThemeForestRAT và RemotePE.
Chuỗi tấn công và kỹ thuật lừa đảo
Cuộc xâm nhập bắt đầu bằng việc chiếm quyền điều khiển thiết bị của nhân viên thông qua kỹ thuật social engineering. Kẻ tấn công tiếp cận nạn nhân trên Telegram dưới danh nghĩa là nhân viên của một công ty thương mại và lên lịch họp qua các tên miền Calendly và Picktime giả mạo.
Trình tự lây nhiễm RemotePE trải qua ba giai đoạn, với DPAPILoader DLL ("Iassvc.dll") chịu trách nhiệm giải mã và tải payload đã mã hóa từ đĩa bằng DPAPI. Các vết tích sớm nhất của DPAPILoader có từ tháng 11 năm 2023.
Payload sau khi giải mã là một trình tải khác mang tên RemotePELoader. Nó được thiết kế để liên lạc với một máy chủ từ xa ("aes-secure[.]net") qua giao thức HTTP, tải về mô-đun cốt lõi và thực thi nó trong bộ nhớ. Trước đó, nó thực hiện các bước để lẩn tránh sự phát hiện bằng các kỹ thuật như Hell's Gate và vá Event Tracing for Windows (ETW).
Khả năng của RemotePE RAT
Giai đoạn cuối cùng là một trojan truy cập từ xa (RAT) hoàn chỉnh có tên RemotePE, được viết bằng ngôn ngữ C++ và liên tục truy vấn máy chủ điều khiển (C2) để nhận chỉ thị. Mã độc này hỗ trợ sáu nhóm lệnh, cho phép nó:
- Lấy hoặc sửa đổi cấu hình C2.
- Lấy hoặc thay đổi thư mục làm việc hiện tại, đăng ký mô-đun DLL mới, liệt kê các DLL đã tải và gỡ bỏ một DLL.
- Thực hiện các thao tác với tệp tin.
- Lấy danh sách các tiến trình đang chạy, tạo tiến trình mới hoặc dừng tiến trình theo ID.
- Tạm dừng (sleep) trong một khoảng thời gian xác định hoặc thoát RemotePE.
- Gửi tín hiệu ping đến máy chủ.
Một khía cạnh đáng chú ý của lệnh xóa tệp là nó ghi đè lên mỗi tệp bằng các byte cố định bảy lần trước khi đổi tên và xóa chúng. Mô hình này cũng được quan sát thấy trong PondRAT và POOLRAT (còn gọi là SIMPLESEA). PondRAT được đánh giá là phiên bản rút gọn của POOLRAT.
Mục tiêu là các tổ chức giá trị cao
Fox-IT cho biết họ đã thu thập được bốn mẫu RemotePE cho thấy RAT này đã được phát triển tích cực từ giữa năm 2023 đến giữa năm 2024. Phiên bản đầu tiên có dấu thời gian là ngày 4 tháng 7 năm 2023.
Các nhà nghiên cứu nhận định: "Việc sử dụng khóa môi trường (environmental keying), thực thi chỉ trên bộ nhớ, lẩn tránh EDR và để lại rất ít dấu vết pháp chứng cho thấy bộ công cụ này được xây dựng có mục đích cho các chiến dịch giám sát dài hạn. Điều này cho phép kẻ tấn công duy trì quyền truy cập âm thầm trong thời gian dài trước khi thực hiện mục tiêu cuối cùng có tác động cao như đánh cắp dữ liệu hoặc thực hiện các vụ trộm tài chính quy mô lớn."
Mô hình phân phối có sự tham gia trực tiếp của con người (actor-in-the-loop) và tỷ lệ phát hiện thấp của bộ công cụ này cho thấy nó có thể được dành riêng cho các mục tiêu giá trị cao, nơi mục tiêu là duy trì quyền truy cập bí mật lâu dài, phù hợp với trọng tâm của nhóm Lazarus vào các tổ chức tài chính và tiền điện tử.