Descubre el truco secreto de Lazarus para colarse en exchanges y robar sin que lo detecten

Aquí te va la info al cien y bien clara, sin tanta vuelta:

El grupo Lazarus, que tiene bronca con Corea del Norte y mueve hilos desde allá, lanzó un programa chueco llamado RemotePE para meterse al ciberespacio de empresas financieras y de activos digitales. Este malware no deja rastros en el disco duro porque se la pasa trabajando directo en la memoria de la compu, así que es difícil de cachar por cualquier antivirus o sistema de seguridad.

Los investigadores encontraron que RemotePE funciona en tres pasos: primero usan un programa llamado DPAPILoader para descifrar todo con herramientas de Windows, luego otro llamado RemotePELoader se conecta a un servidor para traer la parte principal del malware y ejecutarla en la memoria sin que te des cuenta.

¿Cómo entran? Pues se hacen pasar por empleados de firmas de inversión en Telegram y engañan a la gente para que se conecte a reuniones falsas, con páginas que parecen de verdad, pero son trampas. Ya dentro, RemotePE puede durar meses sin que nadie lo note. De hecho, los primeros ataques se vieron desde mediados del 2023 y nadie se había dado cuenta hasta mayo de 2026.

Cuando está activo, RemotePE da control total sobre la computadora al hacker. Pero ojo, no es automático: un operador humano decide qué hacer y cuándo. El programa puede mover archivos, cambiar configuraciones, abrir o cerrar procesos, cargar más módulos sin que nada se apague y hasta controlar cuándo se activa para no levantar sospechas.

Antes de borrar cualquier archivo, lo sobreescribe varias veces para que no se pueda recuperar ni un pedacito, una técnica de expertos que usan otros malwares de Lazarus también.

Este programa se usa solo con objetivos pesados, porque es súper sigiloso y busca robar mucho, ya sea dinero o información clave, sin que te des cuenta hasta que es demasiado tarde.

Ojo, que RemotePE no es el único rollo. Lazarus fue responsable del 70% de los ataques a finanzas descentralizadas en 2026. En abril, hicieron dos golpes que le metieron mano a más de 577 millones de dólares: uno en Drift Protocol, donde se hicieron pasar por socios serios y luego sacaron la lana, y otro en KelpDAO, donde manipularon los nodos de las transacciones para robar. Las dos movidas, igual que RemotePE, fueron meses de andar calladitos planeando antes del golpe.

Para que te des una idea, solo en abril del mismo año hubo 34 ataques a protocolos DeFi que se tradujeron en pérdidas de 635 millones. Desde el 2017, Lazarus lleva más de 6 mil millones de dólares robados en activos digitales, y no es cualquier banda: es una operación que tienen bien armada y de largo alcance. Según Fox-IT, RemotePE es la joya más fregona que tienen en su arsenal hasta ahora.