RemotePE: Lazarus-Malware stiehlt 577 Millionen Dollar in vier Monaten

Neue Schadsoftware „RemotePE" operiert vollständig im Arbeitsspeicher und umgeht selbst moderne Sicherheitslösungen.

Cybersecurity-Forscher haben eine hochentwickelte Malware-Kampagne der nordkoreanischen Hackergruppe Lazarus aufgedeckt. Die als „RemotePE" bezeichnete Schadsoftware zielt gezielt auf DeFi-Plattformen, traditionelle Finanzinstitute und Kryptobörsen ab. Das Besondere: RemotePE hinterlässt kaum Spuren auf der Festplatte – es arbeitet fast ausschließlich im Arbeitsspeicher (RAM) des infizierten Computers.

Da herkömmliche Sicherheitslösungen bei dateiloser Malware oft versagen, müssen Unternehmen ihre Abwehrstrategien grundlegend überdenken. Dieser kostenlose Ratgeber zeigt Ihnen in 4 Schritten, wie Sie Phishing-Angriffe und moderne Cyberkriminalität effektiv stoppen. Anti-Phishing-Paket für Unternehmen jetzt gratis anfordern

Dreistufiger Angriff mit maximaler Tarnung

Die Infektion erfolgt in drei präzise aufeinander abgestimmten Phasen. Zunächst kommt eine Komponente namens „DPAPILoader" zum Einsatz. Sie nutzt die Windows Data Protection API (DPAPI), um nachfolgende Schadcode-Teile zu entschlüsseln. Entscheidend: Die Entschlüsselung funktioniert nur auf dem exakt vorgesehenen Zielrechner. Das macht es Sicherheitsforschern nahezu unmöglich, die Malware in isolierten Testumgebungen zu analysieren oder auf Analyseplattformen wie VirusTotal hochzuladen.

In der zweiten Phase übernimmt der „RemotePELoader". Er stellt die Verbindung zu den Kommando-Servern der Angreifer her – und neutralisiert gleichzeitig aktive Sicherheitsmaßnahmen auf dem befallenen System. Die Hacker nutzen eine Technik namens „Hell's Gate", um Sicherheits-Hooks zu umgehen. Zusätzlich manipulieren sie das Event Tracing for Windows (ETW)-Framework. Dadurch werden keine sicherheitsrelevanten Ereignisse mehr protokolliert – die Angreifer bleiben unsichtbar.

Die finale Stufe ist der eigentliche RemotePE-Trojaner, geschrieben in C++. Er wird direkt in den Arbeitsspeicher geladen und berührt die Festplatte in seiner unverschlüsselten Form nie. Sollte doch einmal eine temporäre Datei nötig sein, löscht Lazarus diese nach einem strengen Protokoll: Siebenmalige Überschreibung macht eine forensische Wiederherstellung unmöglich.

Menschliche Steuerung statt automatisierter Angriffe

Die Sicherheitsforschung zeigt ein ungewöhnliches Muster: Für die Freigabe der finalen Schadsoftware ist oft die manuelle Bestätigung eines menschlichen Operators nötig. Diese Operatoren arbeiten offenbar nach einem festen Zeitplan – angepasst an die Zeitzone UTC+9, also die üblichen Geschäftszeiten auf der koreanischen Halbinsel. Das deutet auf eine disziplinierte, fast unternehmensähnliche Struktur der Hackergruppe hin.

Der erste Zugriff auf Zielnetzwerke erfolgt häufig durch Social Engineering. In den vergangenen Monaten haben die Angreifer gezielt Fachleute über Telegram kontaktiert – mit gefälschten Links zu Terminplanungsdiensten wie Calendly oder Picktime. Diese Links öffnen das Tor zur Infektionskette. Auch Spear-Phishing und manipulierte Software-Updates kommen zum Einsatz.

Die Entwicklung von RemotePE lässt sich anhand von mindestens vier verschiedenen Varianten nachvollziehen, die zwischen Juli 2023 und Mai 2024 sichergestellt wurden. Die aktuelle Version stellt einen deutlichen Sprung in der Fähigkeit dar, Sicherheitslösungen zu umgehen und in sensiblen Finanznetzwerken präsent zu bleiben.

577 Millionen Dollar in vier Monaten – 76 Prozent aller Krypto-Diebstähle

Die wirtschaftliche Dimension ist atemberaubend. Allein in den ersten vier Monaten des Jahres 2026 erbeutete die Lazarus-Gruppe rund 577 Millionen Dollar in Kryptowährungen. Das entspricht etwa 76 Prozent aller weltweit in diesem Zeitraum gestohlenen digitalen Vermögenswerte. Seit 2017, als die Gruppe ihren Fokus auf finanzielle Ziele legte, summiert sich die Beute auf schätzungsweise sechs Milliarden Dollar.

Die Konzentration auf DeFi-Organisationen ist strategisch: Diese Plattformen verwalten oft riesige Liquiditätspools, verfügen aber über sehr unterschiedliche Sicherheitsniveaus. RemotePE ist speziell für diese Hochrisiko-Umgebungen entwickelt – das Ziel ist die langfristige Observation und schließlich die Ausführung massiver Finanztransfers.

Die US-amerikanische Cybersicherheitsbehörde CISA hat bereits Warnungen herausgegeben. Ihr Appell an Unternehmen: Weg von der rein dateibasierten Erkennung. Da RemotePE im RAM lebt, helfen klassische Indikatoren wie Datei-Hashes nicht weiter. Stattdessen müssen Sicherheitsteams auf Verhaltensanalyse und Anomalien in der Speichernutzung setzen.

Angesichts der rasanten Entwicklung von KI-gestützten Bedrohungen und dateiloser Malware stehen viele Unternehmen vor neuen gesetzlichen und technischen Hürden. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Ihre IT-Sicherheit ohne teure Investitionen stärken und aktuelle Sicherheitslücken proaktiv schließen. Gratis E-Book: Cyber Security Trends 2024 herunterladen

Neue Ära der Bedrohung: Dateilos und umgebungsabhängig

Das Auftauchen dateiloser Trojaner wie RemotePE markiert eine neue Stufe der Bedrohungslandschaft. Hochprofessionelle Gruppen setzen nicht mehr auf Massenangriffe, sondern investieren in maßgeschneiderte, umgebungsabhängige Werkzeuge, die monatelang unentdeckt bleiben können. Die Bindung der Payloads an die DPAPI und die manuelle Freigabe zu bestimmten Geschäftszeiten zeigen: Hier wird jedes Ziel sorgfältig ausgewählt.

Für den Finanzsektor bedeutet das einen grundlegenden Wandel der Verteidigungsstrategie. Herkömmliche Perimeter-Sicherheit tritt in den Hintergrund – internes Memory-Forensik und die Überwachung administrativer APIs werden entscheidend. Die Fähigkeit der Lazarus-Gruppe, Windows-Protokollierungssysteme in Echtzeit zu manipulieren, bedeutet: Selbst bei einem erfolgreichen Einbruch können die traditionell zur Rekonstruktion genutzten Logs fehlen oder verfälscht sein.

Die Konzentration erfolgreicher Diebstähle auf die ersten Monate des Jahres 2026 zeigt, wie schnell diese Gruppen neue Schwachstellen oder neue Malware ausnutzen können. Dass 76 Prozent aller globalen Krypto-Diebstähle auf eine einzige Gruppe zurückgehen, offenbart ein systemisches Risiko für das gesamte DeFi-Ökosystem.

Ausblick: Der Kampf um den Arbeitsspeicher

Während die Lazarus-Gruppe ihr RemotePE-Toolset weiter verfeinert, verschiebt sich die Beweislast in der Sicherheitsbranche: Nicht mehr das Erkennen einer Datei steht im Vordergrund, sondern das Erkennen unerlaubten Prozessverhaltens. Sicherheitsfirmen wie Fox-IT haben YARA-Regeln und spezifische Indikatoren veröffentlicht – doch weil die Malware umgebungsabhängig ist, dürften diese nur einen temporären Vorteil bieten.

Finanzinstitute und Kryptounternehmen werden voraussichtlich massiv in Speicher-Scanning-Technologien und spezialisierte Jagdteams investieren. Der Fokus wird auf dem menschlichen Element der Verteidigung liegen: rigoroses Training gegen Telegram-basiertes Social Engineering und die Einführung von Multi-Signatur-Verfahren für hochwertige Transaktionen.

In den kommenden Monaten wird die Entwicklung dateiloser Malware voraussichtlich einen neuen Standard in der Cybersicherheit setzen. Die Annahme einer „sauberen" Festplatte reicht nicht mehr aus, um die Integrität eines Systems zu garantieren. Bei fast sechs Milliarden Dollar, die allein diese eine Gruppe seit 2017 erbeutet hat, waren die Einsätze für die Sicherheit digitaler Finanzinfrastrukturen noch nie so hoch.

de | wissenschaft | 69424408 |