Các nhà phân tích an ninh mạng đã phát hiện ra một loại mã độc Trojan truy cập từ xa không cần tệp (RAT) mới, có tên là RemotePE. Nó đang được nhóm Lazarus, một nhóm tội phạm mạng được cho là có liên hệ với Triều Tiên, sử dụng để nhắm mục tiêu vào các ngân hàng và các công ty tiền điện tử.
Theo một phân tích gần đây, phần mềm độc hại này hoạt động hoàn toàn trong bộ nhớ, khiến cho việc để lại bất kỳ dấu vết nào trên hệ thống máy tính bị ảnh hưởng gần như là không thể.
Lazarus Group sử dụng thủ đoạn thao túng tâm lý để lừa đảo nhà đầu tư.
Nhóm Lazarus bắt đầu cuộc tấn công bằng các kỹ thuật thao túng tâm lý. Chúng giả danh là nhân viên của các công ty giao dịch thông qua Telegram. Để làm được điều này, nhóm tin tặc sử dụng các bản sao giả mạo của Calendly và Picktime, những ứng dụng được sử dụng rộng rãi để lên lịch các cuộc họp.
Sau khi được chấp thuận cho cuộc họp, chuỗi sự kiện tiếp diễn cho đến khi phần mềm độc hại đầu tiên được cài đặt. Phương pháp "có sự tham gia của con người" này cho phép các nhà điều hành Lazarus phát triển các mồi nhử hiệu quả.
Phần mềm độc hại hoạt động thông qua một chuỗi ba giai đoạn được phối hợp chặt chẽ nhằm mục đích giảm thiểu các thao tác trên ổ đĩa. Đầu tiên là DPAPILoader. Đây là một thư viện liên kết động (DLL), còn được biết đến với tên tệp Iassvc.dll kể từ tháng 11 năm 2023.
Chương trình sử dụng giao diện lập trình ứng dụng bảo vệ dữ liệu Windows (DPAPI) để giải mã dữ liệu được lưu trữ trên ổ đĩa.
Sau đó, dữ liệu đã được giải mã sẽ được chuyển đến RemotePELoader, chương trình này sẽ tạo kết nối HTTP đến máy chủ C2 tại aes-secure[.]net. Sau đó, nó tải xuống và chạy giai đoạn RemotePE cuối cùng trong bộ nhớ.
Để vượt qua các giải pháp EDR, RemotePELoader sử dụng kỹ thuật Hell's Gate và ETW Patching để tránh bị phát hiện.
Cuối cùng, phần mềm độc hại RemotePE RAT chính không bao giờ tiếp xúc với hệ thống tập tin, duy trì khả năng phát hiện bằng chứng pháp y thấp trong toàn bộ chuỗi tấn công. Phần mềm độc hại này được phát hiện lần đầu vào tháng 9 năm 2025.
Trong sự cố được báo cáo, một công ty tài chính phi tập trung (DeFi) đã bị ba phần mềm RAT khác nhau—RemotePE, PondRAT và ThemeForestRAT—xâm nhập vào cơ sở hạ tầng, và chúng lần lượt thay thế nhau.
Công nghệ tiên tiến và trí tuệ nhân tạo đang trở thành cơn ác mộng tồi tệ nhất của các nhà giao dịch.
Trước đây, các nhà đầu tư tiền điện tử đã dựa vào trí tuệ nhân tạo và công nghệ để đơn giản hóa giao dịch. Giờ đây, chính những công cụ đó lại rơi vào tay tin tặc, gây ra cho họ những thiệt hại tài chính khổng lồ.
Việc sử dụng mã khóa môi trường thông qua DPAPI, thực thi chỉ trong bộ nhớ, vá lỗi ETW và Hell's Gate khiến RemotePE gần như không thể bị phát hiện bằng các phương pháp truyền thống. Các nhà phân tích tại Fox-IT, một chi nhánh của NCC Group, đã lưu ý rằng những đặc điểm này cho thấy phần mềm độc hại được thiết kế để tự duy trì trong thời gian dài nhằm tiến hành trinh sát trước khi tấn công, không giống như các cuộc tấn công phần mềm độc hại gây gián đoạn thông thường.
Nhóm Lazarus đã đánh cắp khoảng 577 triệu đô la tiền điện tử trong bốn tháng đầu năm 2026. Theo công ty phân tích blockchain TRM Labs, con số này chiếm 76% tổng số vụ trộm tiền điện tử trên toàn thế giới, bất chấp chỉ có hai vụ tấn công lớn.
Tỷ lệ các vụ tấn công mạng liên quan đến Triều Tiên đã tăng mạnh. Từ con số một chữ số trong những năm trước, con số này đã lên tới 64% vào năm 2025 và 76% vào năm 2026. Số tiền bị đánh cắp kỷ lục hiện nay là 6 tỷ đô la kể từ năm 2017. Số tiền này được cho là dùng để tài trợ cho các chương trình phát triển vũ khí và hạt nhân của nước này trong bối cảnh các lệnh trừng phạt.
Tin tặc chuyển sang sử dụng trí tuệ nhân tạo để gây bất ổn cho các nhà phát triển đứng sau các tập đoàn công nghệ lớn.
Các chuyên gia an ninh mạng đã phát hiện ra một cuộc tấn công quy mô lớn, trong đó tin tặc nhắm mục tiêu vào hơn 700 trang web sử dụng hệ thống quản lý nội dung Ghost, khai thác lỗ hổng nghiêm trọng về tấn công SQL injection. Các cuộc tấn công mạng đã cho phép kẻ tấn công truy cập vào tên người dùng và mật khẩu của các tài khoản quản trị, từ đó cho phép chúng chèn phần mềm độc hại thông qua các đoạn mã JavaScript chuyển hướng vào các kênh phân phối ClickFix của họ.
Các nền tảng mục tiêu bao gồm các tổ chức học thuật, các dự án trí tuệ nhân tạo, dịch vụ blockchain, nhà cung cấp phần mềm dưới dạng dịch vụ (SaaS), các nguồn nghiên cứu an ninh mạng, các hãng tin tức và các công ty fintech.
Nạn nhân khi gặp phải CAPTCHA giả mạo sẽ được yêu cầu nhập một chuỗi mã hóa Base64 vào hộp thoại Chạy. Ở bước này, họ có thể tải xuống một tệp ZIP chứa một Script hàng loạt. Script hàng loạt này sau đó sẽ chạy một lệnh PowerShell để tải về các tệp DLL hoặc JavaScript đã được ký từ máy chủ từ xa.
Các phiên bản trước của phần mềm độc hại này sẽ chạy một DLL bằng cách sử dụng rundll32.exe. Tuy nhiên, các phiên bản gần đây cài đặt trình cài đặt Inno Setup cho một phiên bản mã nguồn mở của ứng dụng Electron có tên là Grape. Sau khi cài đặt, phần mềm độc hại này sẽ hoạt động liên tục và thăm dò tên miền C2 web-telegram[.]ug cứ sau 30 giây.
