币圈界报道：

RemotePE木马悄然渗透金融与科技生态

最新安全监测显示，一种名为RemotePE的新型无文件远程访问木马正在全球范围内蔓延，其攻击目标直指银行及加密货币相关企业。该恶意程序由疑似与朝鲜有关的“拉撒路集团”操控，具备高度隐蔽性，整个执行过程完全在内存中完成，极少在磁盘留下可识别痕迹。

攻击链路采用三阶段动态加载机制

攻击者构建了精密的三阶段载荷传递流程：首阶段由名为DPAPILoader的动态链接库启动，借助Windows数据保护接口解密存储于本地的加密载荷；解密后的内容交由RemotePELoader模块处理，该组件负责建立外部HTTP通信通道，并在内存中下载最终执行体RemotePE。

反检测技术强化隐蔽性，实现长期潜伏

为规避终端安全产品侦测，RemotePELoader集成多种反分析技术，包括代码混淆、时间延迟触发及行为伪装。最终载荷始终不写入文件系统，导致传统取证手段难以捕获其活动踪迹。该威胁最早于2025年9月被确认存在。

多轮攻击形成持续性入侵闭环

调查发现，某去中心化金融平台在短时间内遭遇三种不同远程访问工具的轮替入侵，彼此之间呈现迭代替代关系，表明攻击者正实施长期驻留型侦察策略，而非一次性破坏行动。

人工智能工具反成攻击跳板

原本用于优化交易效率的人工智能系统，如今被黑客借力用于伪造身份与自动化欺诈。此类恶意软件结合多重混淆与内存注入技术，使常规安全防护体系几乎失效。分析师指出，其设计特征指向长期潜伏与情报收集，而非即时破坏。

资金流向揭示国家支持型网络犯罪本质

数据显示，拉撒路集团在2026年前四个月共盗取价值约5.77亿美元的数字资产，占同期全球加密货币盗窃总量的76%。自2017年以来，该组织累计非法获取金额已达60亿美元，据信部分收益已被用于支持朝鲜的核武器与导弹研发项目。

开源软件成为新攻击入口

另有多起大规模攻击事件浮出水面，黑客利用特定内容管理系统的高危漏洞，入侵超过七百个网站。攻击者通过伪造的验证流程诱导用户执行指令，进而从远程服务器下载嵌有恶意脚本的压缩包。

攻击范围扩展至科研与金融科技领域

受影响单位涵盖学术研究机构、人工智能开发团队、区块链服务商、网络安全组织、新闻媒体及金融技术服务提供商。早期版本依赖系统程序加载库文件，而新版则伪装成合法开源应用安装包植入系统，随后建立持久连接机制，定时向控制端回传数据。