-
El acceso inicial ocurre vía Telegram con suplantación de identidad.
-
Los primeros artefactos del malware datan de julio de 2023, como reveló un informe de mayo de 2026.
El grupo Lazarus, vinculado al gobierno de Corea del Norte, desplegó un programa de acceso remoto no autorizado llamado RemotePE contra empresas del sector financiero y de activos digitales. Según la firma Fox-IT, subsidiaria del grupo NCC, en un informe publicado el pasado 22 de mayo, el programa malicioso ejecuta sus operaciones íntegramente en la memoria del equipo infectado, sin guardar archivos en el disco duro, lo que le permite evadir los sistemas de detección de amenazas más extendidos en la industria.
De acuerdo con los investigadores Yun Zheng Hu y Mick Koomen, RemotePE forma parte de una cadena de ataque en tres etapas que incluye dos programas intermediarios: DPAPILoader, que descifra la carga maliciosa usando herramientas nativas del sistema operativo Windows, y RemotePELoader, que contacta un servidor externo para recibir el módulo principal y ejecutarlo directamente en memoria.
Fox-IT señala que el acceso inicial a las organizaciones objetivo ocurre mediante engaño en Telegram. Los atacantes se presentan como empleados de firmas de inversión y dirigen a sus víctimas a reuniones programadas en sitios falsos que imitan plataformas legítimas de agendamiento. Una vez dentro del sistema, el programa puede permanecer activo durante meses sin ser identificado.
La firma sostiene que los primeros registros de este ataque datan de noviembre de 2023, mientras que la versión más antigua de RemotePE identificada lleva fecha del 4 de julio de ese mismo año. Ninguna de las muestras analizadas había sido detectada por plataformas públicas de análisis de amenazas antes de la publicación del informe.
Control total desde las sombras
Una vez instalado, RemotePE otorga al atacante control operativo completo sobre el sistema comprometido. Según la firma, el programa no actúa de forma autónoma: cada entrega del módulo principal requiere la intervención manual de un operador humano, que decide cuándo y a quién enviarlo.
El programa permite al atacante ejecutar las siguientes acciones sobre el equipo comprometido:
- Modificar la configuración del servidor desde el que recibe órdenes
- Gestionar carpetas y módulos del sistema
- Leer, escribir, comprimir, renombrar o eliminar archivos
- Listar, crear o eliminar procesos en ejecución
- Cargar módulos adicionales en tiempo real, sin reiniciar el programa
- Regular los intervalos de actividad para reducir su visibilidad
La firma también destaca que antes de eliminar un archivo, el programa lo sobreescribe siete veces con datos constantes, una técnica de borrado que dificulta la recuperación de evidencia forense y que comparte con otros programas maliciosos del mismo grupo, como PondRAT y POOLRAT.
La firma advierte que el modelo de operación supervisado por personas en tiempo real, combinado con la baja tasa de detección del conjunto de herramientas, sugiere que RemotePE se reserva para objetivos de alto valor, donde el acceso silencioso y prolongado precede a una acción final de gran impacto, como el robo masivo de fondos o la extracción de información sensible.
Un patrón que se repite con cifras crecientes
RemotePE no es un caso aislado. Según la firma de análisis Arkham, Lazarus fue responsable de más del 70% de todos los ataques a protocolos de finanzas descentralizadas registrados en 2026, con dos golpes ejecutados en abril que sumaron más de 577 millones de dólares: el primero contra Drift Protocol, donde agentes del grupo se presentaron en conferencias del sector y realizaron depósitos superiores al millón de dólares para aparentar ser socios legítimos antes de drenar los fondos; el segundo contra KelpDAO, mediante la manipulación de los nodos que verificaban las transacciones entre redes. Ambos ataques comparten con RemotePE el mismo principio operativo: meses de preparación silenciosa antes de una acción final irreversible.
El contexto es más amplio, el pasado abril registró 34 ataques a protocolos de finanzas descentralizadas (DeFi), con pérdidas de aproximadamente 635 millones de dólares, lo que representó el 78% de todo lo robado en el ecosistema durante lo que va del año, según el reporte mensual de CDSecurity. Desde 2017, el grupo acumula más de 6.000 millones de dólares en activos digitales robados, según Arkham, una cifra que sitúa a Lazarus no como un actor oportunista, sino como una operación de Estado con objetivos financieros de largo plazo. RemotePE es, según Fox-IT, la herramienta más sofisticada documentada hasta ahora dentro de ese arsenal.
