Lazarus部署仅驻留内存的RemotePE远程访问木马，攻击金融和加密货币公司

背景与问题

报道聚焦一个面向金融与加密货币行业的定向攻击活动。攻击者被指认为与朝鲜有关的Lazarus Group，这一背景说明其行动目标往往不只是普通破坏，更可能与资金获取、长期潜伏和高价值情报窃取有关。此次被披露的重点不只是某个恶意样本，而是其背后的多阶段攻击链设计。

核心内容

已知攻击链包含三个关键部分：

• DPAPILoader
• RemotePELoader
• RemotePE

其中，RemotePE被定义为跨平台恶意软件，说明其设计目标不是单一操作系统，而是尽可能扩大可攻击范围。两级加载器的存在表明攻击者采用了分层投递与执行机制，这类方式通常有几个作用：

• 降低主恶意载荷直接暴露的风险
• 通过解密、加载等步骤提升隐蔽性
• 让不同模块承担不同职责，便于更新和替换

文中提到DPAPILoader负责解密，这意味着攻击链前段已经加入了对载荷保护的机制。无论是为了绕过检测，还是为了避免静态分析，解密步骤都说明样本并非简单投放，而是经过了专门的对抗设计。紧接着由RemotePELoader承接，进一步将RemotePE引入执行链，反映出该攻击框架具有较强的模块化特征。

意义与影响

这次披露的价值在于揭示了Lazarus正在继续强化其跨平台能力与隐蔽加载能力。对于金融和加密货币机构，这意味着风险不再局限于单一终端环境，而是可能覆盖更广泛的基础设施和员工设备。

更值得注意的是，多阶段加载链往往意味着更高的侦测难度：

• 安全团队可能只看到前置加载器，而忽略最终载荷
• 不同阶段行为分散，增加溯源和关联分析复杂度
• 加密与解密步骤会削弱传统基于特征的检测效果

整体来看，关键信号有两个：一是Lazarus仍在持续针对资金密集型行业发起攻击；二是其工具链已经体现出模块化、跨平台、分阶段执行的成熟特征。这类攻击不依赖单点突破后的即时破坏，而更像是围绕隐蔽入侵与稳定执行构建的系统化能力。