**Fox-IT**, eine Tochtergesellschaft der **NCC Group**, beschrieb **RemotePE** als Teil eines mehrstufigen Angriffs, der zwei Loader beinhaltet: **DPAPILoader** und **RemotePELoader**. ### Mehrstufige Infektionskette Der Infektionsprozess beginnt mit **DPAPILoader**, der **RemotePELoader** von der Festplatte entschlüsselt und lädt, wobei die **Windows Data Protection API (DPAPI)** genutzt wird. Laut den Forschern Yun Zheng Hu und Mick Koomen, „entschlüsselt und lädt **DPAPILoader** **RemotePELoader** von der Festplatte unter Verwendung der Windows Data Protection API ([DPAPI](https://learn.microsoft.com/en-us/dotnet/standard/security/how-to-use-data-protection)). **RemotePELoader** kontaktiert einen C2-Server und wartet, bis es die nächste Stufe erhält: **RemotePE**, ein RAT, das vollständig im Arbeitsspeicher ausgeführt wird und nie auf die Festplatte geschrieben wird, wodurch keine Dateisystem-Artefakte hinterlassen werden.“ **RemotePE** wurde erstmals im September 2025 während eines Angriffs auf eine dezentrale Finanz- (DeFi) Organisation identifiziert, was zur Bereitstellung von **PondRAT**, **ThemeForestRAT** und **RemotePE** führte. ### Anfängliche Kompromittierung und Loader-Funktionalität Die Intrusion beginnt mit Social Engineering, bei dem ein Angreifer, der sich als Mitarbeiter eines Handelsunternehmens auf **Telegram** ausgibt, das Gerät eines Mitarbeiters über gefälschte **Calendly**- und **Picktime**-Domains kompromittiert. Die **RemotePE**-Infektionssequenz umfasst drei Stufen, wobei die **DPAPILoader** DLL („Iassvc.dll“) eine verschlüsselte Payload von der Festplatte über **DPAPI** entschlüsselt und lädt. Das älteste **DPAPILoader**-Artefakt stammt vom November 2023. Die entschlüsselte Payload, **RemotePELoader**, stellt eine Verbindung zu einem entfernten Server („aes-secure[.]net“) über HTTP her, um das Kernmodul abzurufen. Vor der Ausführung setzt es Evasion-Techniken wie [Hell's Gate](https://redops.at/en/blog/exploring-hells-gate) ein und patchet **Event Tracing for Windows (ETW)**, um einer Entdeckung zu entgehen.  ### RemotePE RAT-Fähigkeiten Die letzte Stufe beinhaltet den Remote-Access-Trojaner **RemotePE**, geschrieben in C++, der einen Command-and-Control (C2)-Server auf Anweisungen abfragt. Die Malware unterstützt sechs Befehlskategorien: * Abrufen oder Ändern der C2-Konfiguration * Verwalten von Verzeichnissen und DLL-Modulen * Durchführen von Dateioperationen * Verwalten von Prozessen * Steuern der Malware-Ausführung (Schlafmodus oder Beenden) * Pingen des Servers Bemerkenswerterweise überschreibt der Befehl zur Dateilöschung Dateien siebenmal mit konstanten Bytes, bevor er sie umbenennt und löscht – eine Taktik, die auch bei **PondRAT** und **POOLRAT** (auch bekannt als **SIMPLESEA**) beobachtet wurde. **PondRAT** gilt als leichtere Version von **POOLRAT**. ### Entwicklungszeitplan und strategische Implikationen **Fox-IT** erhielt vier **RemotePE**-Samples, was auf eine aktive Entwicklung zwischen Mitte 2023 und Mitte 2024 hindeutet, mit dem frühesten Kompilierungszeitstempel vom 4. Juli 2023. Die Forscher erklärten: „Das Environmental Keying des Toolsets, die reine Speicher-Ausführung, die EDR-Umgehung und der geringe forensische Fußabdruck deuten darauf hin, dass es speziell für langfristige Beobachtungskampagnen entwickelt wurde… Dies ermöglicht es dem Akteur, den Zugriff über einen längeren Zeitraum hinweg unauffällig aufrechtzuerhalten, bevor er zu einem hochwirksamen Endziel wie Datendiebstahl oder einem groß angelegten Finanzbetrug übergeht, was mit der bekannten Geschichte dieses Akteurs übereinstimmt.“ Sie fügten hinzu: „Das Actor-in-the-Loop-Liefermodell und die niedrige Erkennungsrate des Toolsets (weder **RemotePELoader** noch **RemotePE** erschienen vor dieser Veröffentlichung auf **VirusTotal**) deuten darauf hin, dass dieses Toolset für hochwertige Ziele reserviert sein könnte, bei denen langfristiger, heimlicher Zugriff das Ziel ist, was mit dem bekannten Fokus dieser **Lazarus**-Untergruppe auf Finanz- und Kryptowährungsunternehmen übereinstimmt.“