**Fox-IT**, una subsidiaria de **NCC Group**, detalló **RemotePE** como parte de un ataque multietapa que involucra dos cargadores: **DPAPILoader** y **RemotePELoader**. ### Cadena de Infección Multietapa El proceso de infección comienza con **DPAPILoader** descifrando y cargando **RemotePELoader** desde el disco, utilizando la **Windows Data Protection API (DPAPI)**. Según los investigadores Yun Zheng Hu y Mick Koomen, "**DPAPILoader** descifra y carga **RemotePELoader** desde el disco utilizando la Windows Data Protection API ([DPAPI](https://learn.microsoft.com/en-us/dotnet/standard/security/how-to-use-data-protection)). **RemotePELoader** se comunica con un servidor C2 y espera hasta recibir la siguiente etapa: **RemotePE**, un RAT ejecutado completamente en memoria y que nunca se escribe en disco, sin dejar artefactos en el sistema de archivos." **RemotePE** fue identificado inicialmente en septiembre de 2025 durante un ataque a una organización de finanzas descentralizadas (DeFi), resultando en el despliegue de **PondRAT**, **ThemeForestRAT** y **RemotePE**. ### Compromiso Inicial y Funcionalidad del Cargador La intrusión comienza con ingeniería social, donde un atacante, haciéndose pasar por un empleado de una empresa comercial en **Telegram**, compromete el dispositivo de un empleado utilizando dominios falsos de **Calendly** y **Picktime**. La secuencia de infección de **RemotePE** consta de tres etapas, con la DLL **DPAPILoader** ("Iassvc.dll") descifrando y cargando un payload cifrado desde el disco a través de **DPAPI**. El artefacto **DPAPILoader** más antiguo data de noviembre de 2023. El payload descifrado, **RemotePELoader**, se conecta a un servidor remoto ("aes-secure[.]net") a través de HTTP para recuperar el módulo principal. Antes de la ejecución, emplea técnicas de evasión como [Hell's Gate](https://redops.at/en/blog/exploring-hells-gate) y aplica parches a **Event Tracing for Windows (ETW)** para evitar la detección.  ### Capacidades del RAT RemotePE La etapa final involucra el troyano de acceso remoto **RemotePE**, escrito en C++, que consulta a un servidor de comando y control (C2) en busca de instrucciones. El malware soporta seis categorías de comandos: * Obtener o modificar la configuración del C2 * Administrar directorios y módulos DLL * Realizar operaciones de archivo * Administrar procesos * Controlar la ejecución del malware (dormir o salir) * Hacer ping al servidor Notablemente, el comando de eliminación de archivos sobrescribe los archivos con bytes constantes siete veces antes de renombrarlos y eliminarlos, una táctica también vista en **PondRAT** y **POOLRAT** (también conocido como **SIMPLESEA**). **PondRAT** se considera una versión más ligera de **POOLRAT**. ### Cronología de Desarrollo e Implicaciones Estratégicas **Fox-IT** obtuvo cuatro muestras de **RemotePE**, lo que indica un desarrollo activo entre mediados de 2023 y mediados de 2024, con la marca de tiempo de compilación más temprana del 4 de julio de 2023. Los investigadores declararon: "La clave ambiental de la herramienta, la ejecución solo en memoria, la evasión de EDR y la baja huella forense sugieren que está diseñada específicamente para campañas de observación a largo plazo... Esto permite al actor mantener acceso sigilosamente durante un período prolongado antes de pasar a un objetivo final de alto impacto, como el robo de datos o un gran golpe financiero, consistente con el historial conocido de este actor." Agregaron: "El modelo de entrega con actor en el bucle y la baja tasa de detección del conjunto de herramientas (ni **RemotePELoader** ni **RemotePE** aparecieron en **VirusTotal** antes de esta publicación) sugieren que este conjunto de herramientas puede reservarse para objetivos de alto valor donde el acceso sigiloso a largo plazo es el objetivo, consistente con el enfoque conocido de este subgrupo de **Lazarus** en organizaciones financieras y de criptomonedas."