概要

NCC Group傘下のFox-ITのセキュリティ研究者は2026年5月、北朝鮮国家支援のLazarusグループが金融機関および暗号資産関連組織を標的に展開している新型マルウェア「RemotePE」の詳細な解析結果を公開した。RemotePEはC++で実装されたリモートアクセス型トロイの木馬(RAT)であり、最大の特徴はディスクに一切書き込まれず完全にメモリ上でのみ実行されるfileless型の設計にある。最初のサンプルのコンパイルタイムスタンプは2023年7月4日に遡り、2024年中頃まで継続的に開発が行われていたことが確認されている。VirusTotalでの検出率は公開前時点で非常に低い状態であり、長期にわたって高価値ターゲットへの監視活動に使用されてきたとみられる。

3段階の攻撃チェーン

攻撃は「DPAPILoader」「RemotePELoader」「RemotePE」の3コンポーネントで構成される多段階チェーンで実行される。

ステージ1: DPAPILoaderIassvc.dllというファイル名でWindows正規サービスを偽装して配置される。Windows DPAPI(Data Protection API)とXOR暗号の組み合わせによりディスク上の暗号化ペイロードを復号し、次ステージをメモリへロードする。DPAPIを利用することで、ペイロードは特定の被害者マシンに紐付けて暗号化される環境キーイングが実現されており、仮にディスク上のファイルが入手されても、そのマシンのDPAPIキーなしには復号できない。セキュリティ研究者による解析妨害にも有効に機能する。

ステージ2: RemotePELoader はC2サーバーへのHTTP POLLINGを通じて最終ペイロードを受信し、メモリ上で展開する。設定ファイルからC2 URL・スリープ間隔・プロキシ設定を読み込む構造で、C2ドメインにはaes-secure[.]netazureglobalaccelerator[.]comなど、正規クラウドサービスを模倣した名称が使われる。C2通信にはMicrosoftサービスになりすましたHTTPヘッダーが使用され、トラフィックの正規通信への偽装が図られている。通信内容はAES-GCM暗号化が施されている。

ステージ3: RemotePE が最終ペイロードであり、ファイルシステムへの書き込みを一切行わずメモリ上のみで動作する。機能は設定管理・ファイル操作(削除前に7回上書きする安全削除を実装)・プロセス制御・任意コマンド実行・DLLモジュールの動的ロード・Ping/スリープの6カテゴリに分類される。

検出回避技術とOPSEC

RemotePELoaderはEDR(エンドポイント検出・対応)製品の回避に複数の手法を用いている。HellsGateはシステムコール番号を動的に解決することでEDRのフックを迂回するsyscallテクニックであり、加えてWindows標準のログ記録機構であるETW(Event Tracing for Windows)のパッチ適用によってログ収集そのものを妨害する。

運用上のセキュリティ(OPSEC)の観点でも注目すべき特徴がある。ペイロードのC2からの配送タイミングがUTC+9(北朝鮮標準時)の08:00〜19:00に集中していることが確認されており、自動化された配布ではなくオペレーターが手動で展開していることを示唆する。初期侵入にはTelegramを使ったソーシャルエンジニアリングが用いられており、標的を絞った人的アプローチが採られている。

評価と影響

Fox-ITの研究者はこのツールセットを「長期的な観察キャンペーンのために目的特化して構築された(purpose-built for long-term observation campaigns)」と評価している。データ窃取や金融詐取といった最終目標を実行する前段として、高価値ターゲットへ静かに展開して長期監視を行う設計思想であることが読み取れる。最古のRemotePEサンプルのコンパイルタイムスタンプが2023年7月4日に遡ることから、発覚まで2年以上にわたって活動していた可能性がある。防御側への対策として、Fox-ITはC2ドメインのIoCリストを公開しており、同ドメインへの通信監視やEDRによるメモリインジェクション検出の強化が推奨される。