🧨 Уявіть троян, який живе тільки в оперативці, не лишає файлів на диску й спокійно оминає більшість захисту. Саме таку іграшку, RemotePE, я щойно розбирав у звіті Fox-IT — і все це, ймовірно, справа рук Lazarus.Мені особливо зайшов їхній підхід: DPAPILoader шифрує все так, що вантаж працює лише на конкретній машині й юзері — аналіз у пісочниці стає болем 😅. Потім RemotePELoader через HTTP тягне основний модуль із C2-домену aes-secure[.]net і запускає його повністю в пам’яті, паралельно ріже телеметрію: прямі syscalls (Hell's Gate) + патчинг ETW.Фінальний RemotePE — це повноцінний RAT: файли, процеси, DLL, конфіг C2, ще й файли перед видаленням переписує сім разів (той самий патерн, що в PondRAT/POOLRAT). Мені здається, цей тулкит бережуть під дуже “жирні” цілі у DeFi та криптофінансах, плюс вхід через соціалку в Telegram виглядає вже як стандарт. Як думаєте, ваші засоби захисту реально побачать таку безфайлову історію — чи це все ще “сіра зона”?🔗 Докладніше:https://cybersecurefox.com/uk/remotepe-bezfailovyi-rat-lazarus-finansovyi-sektor#кібербезпека #malware #lazarus #crypto #dfir #aptCyberSecureFox