AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Lazarus Group despliega el malware multiplataforma RemotePE en ataques a entidades financieras y de criptomonedas

admin

#### Introducción

El panorama actual de las amenazas cibernéticas se ve marcado por campañas cada vez más complejas y dirigidas, protagonizadas por actores estatales con amplios recursos. Uno de los grupos más activos y sofisticados a nivel mundial es Lazarus Group, vinculado al régimen norcoreano. Recientemente, investigadores de Fox-IT (filial de NCC Group) han revelado una campaña en la que Lazarus utiliza un malware multiplataforma denominado RemotePE, dirigido específicamente a organizaciones del sector financiero y de criptomonedas.

#### Contexto del Incidente

El grupo Lazarus, conocido por sus operaciones de ciberespionaje, sabotaje y robo financiero, ha sido responsable de algunos de los ataques más significativos de la última década, incluyendo el asalto al Banco Central de Bangladesh y campañas contra exchanges de criptomonedas. En este caso, la campaña detectada por Fox-IT se orienta a la infiltración y persistencia en infraestructuras críticas de entidades financieras, aprovechando la flexibilidad multiplataforma de RemotePE para maximizar su alcance. La cadena de infección observada se compone de diversos componentes y loaders, diseñados para evadir controles defensivos y dificultar la atribución.

#### Detalles Técnicos

La campaña identificada por Fox-IT involucra una cadena de ataque en varias fases, en la que destacan los siguientes elementos:

– **DPAPILoader**: Primer loader, encargado de descifrar y cargar en memoria el siguiente componente malicioso. Utiliza la API DPAPI de Windows para manejar credenciales y datos sensibles, dificultando el análisis forense.

– **RemotePELoader**: Segundo loader que, tras ser desplegado por DPAPILoader, ejecuta el binario principal (RemotePE) directamente en memoria, evitando dejar archivos en disco y dificultando la detección por soluciones antimalware tradicionales.

– **RemotePE**: Payload principal, desarrollado con capacidades multiplataforma y diseñado para ejecutar archivos PE (Portable Executable) de forma remota en el sistema comprometido. Permite la ejecución de módulos adicionales bajo demanda, facilitando tareas de post-explotación, movimiento lateral y exfiltración de información.

– **TTPs**: Las tácticas, técnicas y procedimientos empleados se alinean con el framework MITRE ATT&CK, destacando técnicas como _T1059_ (Command and Scripting Interpreter), _T1027_ (Obfuscated Files or Information), _T1569_ (System Services: Service Execution) y _T1218_ (Signed Binary Proxy Execution).

– **Indicadores de Compromiso**: Se han reportado hashes de los loaders y payloads, así como direcciones IP y dominios C2 utilizados en la campaña. Se ha observado el uso de frameworks como Metasploit y personalizaciones inspiradas en Cobalt Strike para la gestión de implantes.

– **Versiones afectadas**: Aunque la muestra analizada se despliega principalmente sobre sistemas Windows, se han identificado variantes de RemotePE con potencial para ejecutarse sobre Linux y macOS, incrementando el espectro de ataque.

#### Impacto y Riesgos

El despliegue de RemotePE permite a los atacantes mantener persistencia, evadir defensas y operar con alto sigilo, facilitando:

– Robo de credenciales y criptodivisas.
– Intercepción y manipulación de transacciones financieras.
– Espionaje corporativo y fuga de información sensible.
– Potencial para ataques supply chain, comprometiendo proveedores y socios tecnológicos.

Fox-IT estima que la campaña ha impactado ya a más de una docena de organizaciones en Europa y Asia, con pérdidas económicas que podrían superar los 50 millones de euros. Además, la flexibilidad multiplataforma incrementa la superficie de ataque y la dificultad para contener la amenaza.

#### Medidas de Mitigación y Recomendaciones

Ante la sofisticación de la campaña, se recomienda:

– **Actualización y parcheo** inmediato de sistemas, priorizando endpoints y servidores expuestos.
– **Monitorización avanzada** de logs y tráfico de red, especialmente en busca de ejecuciones en memoria y conexiones a dominios C2 conocidos.
– **Implementación de EDR/XDR** que analicen comportamiento en tiempo real y permitan respuesta automatizada ante detenciones sospechosas.
– **Auditoría de credenciales** y refuerzo del uso de MFA, especialmente en servicios de acceso remoto y VPNs.
– **Revisión de políticas de seguridad** y formación continua para empleados, enfocado en la detección de spear phishing y tácticas de ingeniería social.

#### Opinión de Expertos

Especialistas de Fox-IT destacan que «RemotePE representa un salto cualitativo en la modularidad y evasión de los ataques de Lazarus, permitiendo la ejecución de payloads personalizados sin tocar disco y dificultando la atribución forense». Desde el sector, consultores de ciberseguridad advierten de la necesidad de combinar inteligencia de amenazas con capacidades proactivas de red teaming para anticipar este tipo de campañas.

#### Implicaciones para Empresas y Usuarios

Las empresas del sector financiero y de criptomonedas, especialmente aquellas sujetas a normativas como GDPR y la inminente NIS2, deben reforzar sus controles de seguridad y notificación de incidentes. El riesgo reputacional y las potenciales sanciones regulatorias añaden presión para mejorar los procesos de respuesta y resiliencia.

Para los usuarios finales, resulta crucial extremar precauciones ante correos electrónicos sospechosos y verificar siempre la autenticidad de las plataformas de inversión y gestión de activos digitales.

#### Conclusiones

La campaña de Lazarus Group con RemotePE evidencia la creciente sofisticación y capacidad de adaptación de los actores estatales en el cibercrimen financiero. La combinación de cargas útiles multiplataforma, ejecución en memoria y evasión de defensas tradicionales exige a las organizaciones un enfoque integral y actualizado de la ciberseguridad. La colaboración entre sector privado, proveedores de inteligencia y organismos reguladores será clave para mitigar el impacto de este tipo de amenazas en el futuro inmediato.

(Fuente: feeds.feedburner.com)