**Fox-IT**, uma subsidiária da **NCC Group**, detalhou o **RemotePE** como parte de um ataque multietapas envolvendo dois loaders: **DPAPILoader** e **RemotePELoader**. ### Cadeia de Infecção Multietapas O processo de infecção começa com o **DPAPILoader** descriptografando e carregando o **RemotePELoader** do disco, utilizando a **Windows Data Protection API (DPAPI)**. De acordo com os pesquisadores Yun Zheng Hu e Mick Koomen, "**DPAPILoader** descriptografa e carrega o **RemotePELoader** do disco usando a Windows Data Protection API ([DPAPI](https://learn.microsoft.com/en-us/dotnet/standard/security/how-to-use-data-protection)). O **RemotePELoader** faz beacon para um servidor C2 e espera até receber a próxima etapa: **RemotePE**, um RAT executado inteiramente na memória e nunca escrito em disco, não deixando artefatos no sistema de arquivos." O **RemotePE** foi identificado inicialmente em setembro de 2025 durante um ataque a uma organização de finanças descentralizadas (DeFi), resultando na implantação de **PondRAT**, **ThemeForestRAT** e **RemotePE**. ### Comprometimento Inicial e Funcionalidade do Loader A intrusão começa com engenharia social, onde um atacante, se passando por um funcionário de uma empresa de trading no **Telegram**, compromete o dispositivo de um funcionário usando domínios falsos de **Calendly** e **Picktime**. A sequência de infecção do **RemotePE** compreende três etapas, com a DLL **DPAPILoader** ("Iassvc.dll") descriptografando e carregando um payload criptografado do disco via **DPAPI**. O artefato mais antigo do **DPAPILoader** data de novembro de 2023. O payload descriptografado, **RemotePELoader**, conecta-se a um servidor remoto ("aes-secure[.]net") via HTTP para recuperar o módulo principal. Antes da execução, ele emprega técnicas de evasão como [Hell's Gate](https://redops.at/en/blog/exploring-hells-gate) e aplica patches no **Event Tracing for Windows (ETW)** para evitar detecção.  ### Capacidades do RAT RemotePE A etapa final envolve o trojan de acesso remoto **RemotePE**, escrito em C++, que consulta um servidor de comando e controle (C2) em busca de instruções. O malware suporta seis categorias de comandos: * Obter ou modificar a configuração do C2 * Gerenciar diretórios e módulos DLL * Executar operações de arquivo * Gerenciar processos * Controlar a execução do malware (dormir ou sair) * Pingar o servidor Notavelmente, o comando de exclusão de arquivos sobrescreve arquivos com bytes constantes sete vezes antes de renomeá-los e excluí-los, uma tática também vista no **PondRAT** e **POOLRAT** (também conhecido como **SIMPLESEA**). O **PondRAT** é considerado uma versão mais leve do **POOLRAT**. ### Cronograma de Desenvolvimento e Implicações Estratégicas A **Fox-IT** obteve quatro amostras do **RemotePE**, indicando desenvolvimento ativo entre meados de 2023 e meados de 2024, com o timestamp de compilação mais antigo de 4 de julho de 2023. Os pesquisadores declararam: "A chave ambiental da ferramenta, a execução apenas em memória, a evasão de EDR e o baixo rastro forense sugerem que ela foi construída especificamente para campanhas de observação de longo prazo... Isso permite que o ator mantenha acesso silenciosamente por um período prolongado antes de passar para um objetivo final de alto impacto, como roubo de dados ou um roubo financeiro em larga escala, consistente com o histórico conhecido deste ator." Eles acrescentaram: "O modelo de entrega com o ator no controle e a baixa taxa de detecção do conjunto de ferramentas (nem o **RemotePELoader** nem o **RemotePE** apareceram no **VirusTotal** antes desta publicação) sugerem que este conjunto de ferramentas pode ser reservado para alvos de alto valor onde o acesso furtivo de longo prazo é o objetivo, consistente com o foco conhecido deste subgrupo do **Lazarus** em organizações financeiras e de criptomoedas."