**NCC Group**傘下の**Fox-IT**は、2つのローダー、**DPAPILoader**と**RemotePELoader**を伴う多段階攻撃の一部として**RemotePE**を詳細に説明しました。 ### 多段階感染チェーン 感染プロセスは、**DPAPILoader**がディスクから**RemotePELoader**を復号化してロードすることから始まります。これには**Windows Data Protection API (DPAPI)**が利用されます。研究者のYun Zheng Hu氏とMick Koomen氏によると、「**DPAPILoader**はWindows Data Protection API ([DPAPI](https://learn.microsoft.com/en-us/dotnet/standard/security/how-to-use-data-protection)) を使用してディスクから**RemotePELoader**を復号化してロードします。**RemotePELoader**はC2サーバーにビーコンを送信し、次のステージである**RemotePE**を受信するまで待機します。**RemotePE**はRATであり、完全にメモリ内で実行され、ディスクに書き込まれることはないため、ファイルシステム上の痕跡を残しません。」 **RemotePE**は、2025年9月に分散型金融（DeFi）組織への攻撃中に初めて特定され、**PondRAT**、**ThemeForestRAT**、**RemotePE**が展開されました。 ### 初期侵害とローダーの機能 侵入はソーシャルエンジニアリングから始まり、攻撃者は**Telegram**上で取引会社の従業員を装い、偽の**Calendly**および**Picktime**ドメインを使用して従業員のデバイスを侵害します。 **RemotePE**の感染シーケンスは3つのステージで構成されており、**DPAPILoader** DLL（「Iassvc.dll」）は**DPAPI**を介してディスクから暗号化されたペイロードを復号化してロードします。最も古い**DPAPILoader**の痕跡は2023年11月に遡ります。 復号化されたペイロードである**RemotePELoader**は、HTTP経由でリモートサーバー（「aes-secure[.]net」）に接続し、コアモジュールを取得します。実行前に、[Hell's Gate](https://redops.at/en/blog/exploring-hells-gate)などの回避技術を使用し、検出を回避するために**Event Tracing for Windows (ETW)**をパッチします。  ### RemotePE RATの機能 最終ステージは、C++で記述された**RemotePE**リモートアクセストロイであり、コマンド・アンド・コントロール（C2）サーバーに指示を問い合わせます。このマルウェアは6つのコマンドカテゴリをサポートしています。 * C2構成の取得または変更 * ディレクトリおよびDLLモジュールの管理 * ファイル操作の実行 * プロセスの管理 * マルウェア実行の制御（スリープまたは終了） * サーバーへのPing 特に、ファイル削除コマンドは、ファイルを定数バイトで7回上書きしてから名前を変更して削除します。これは**PondRAT**および**POOLRAT**（別名**SIMPLESEA**）でも見られる戦術です。**PondRAT**は**POOLRAT**の軽量版と見なされています。 ### 開発タイムラインと戦略的影響 **Fox-IT**は4つの**RemotePE**サンプルを入手しており、2023年半ばから2024年半ばにかけて活発な開発が行われていたことを示唆しています。最も古いコンパイルタイムスタンプは2023年7月4日です。 研究者らは、「このツールセットの環境キーイング、メモリのみの実行、EDR回避、および低いフォレンジックフットプリントは、長期的な監視キャンペーンのために特別に構築されたものであることを示唆しています...これにより、攻撃者はデータ窃盗や大規模な金融詐欺のような高インパクトの最終目標に進む前に、長期間にわたって静かにアクセスを維持することができます。これは、この攻撃者の既知の履歴と一致しています。」と述べています。 さらに、「アクター・イン・ザ・ループ配信モデルとこのツールセットの低い検出率（**RemotePELoader**も**RemotePE**も、この公開前に**VirusTotal**に表示されなかった）は、このツールセットが長期かつステルスなアクセスが目的である高価値のターゲットのために予約されている可能性を示唆しており、これはこの**Lazarus**サブグループの金融および仮想通貨組織への既知の注力と一致しています。」と付け加えています。