币圈界报道：

新型无文件恶意软件揭露朝鲜黑客组织深层渗透策略

安全研究人员发现，与朝鲜有关联的拉撒路组织近期启用一种名为“RemotePE”的新型远程访问工具。该恶意软件专为攻击金融机构及加密货币相关实体而设计，自2025年9月起被监测到活跃。其核心特征在于完全在系统内存中执行，不生成持久化文件，致使常规安全防护机制难以察觉。

社交工程诱导成为入侵首要入口

该组织惯用伪装手法，通过即时通讯平台冒充投资机构人员，利用日程管理工具发送虚假会议邀请。初期接触建立信任后，逐步推进至设备植入阶段。这种依赖人为疏忽的链式攻击模式显著提升成功率，凸显社会工程学在现代网络攻防中的关键作用。

攻击者通过长期关系构建完成信任积累，为后续植入恶意代码铺平道路。整个流程呈现高度定制化的多阶段架构，旨在实现隐蔽性与破坏力的最大化。

三段式攻击链揭示技术隐蔽性

攻击启动后，首个组件DPAPILoader被激活，借助Windows数据保护接口（DPAPI）解密存储于本地磁盘的下一阶段载荷。随后，RemotePELoader通过HTTP协议从远程控制服务器下载实际载荷，并直接注入内存空间。最终主控程序在无文件状态下运行，几乎不与磁盘交互。

调查确认，某去中心化金融平台因连续遭受三种远程控制工具侵袭——包括RemotePE、PondRAT和ThemeForestRAT——导致基础设施严重受损。

高级规避机制令防御体系失效

技术评估显示，RemotePE采用DPAPI进行密钥管理，全程驻留内存，结合多重反分析手段，使其对主流杀毒软件和行为检测工具具备极强免疫能力。这一特性意味着传统扫描方式基本无法识别其存在。

数据显示，在2026年前四个月，全球范围内发生的加密资产盗取案件中，仅两起重大事件即造成5.77亿美元经济损失。自2017年以来，累计被盗数字资产价值已达60亿美元。

人工智能滥用与漏洞链成新风险源

随着人工智能技术在交易与开发环节广泛应用，攻击者亦开始利用AI辅助实施攻击。近期暴发的大规模数据泄露事件影响超700个网站，根源系内容管理系统中存在的严重SQL注入缺陷。

此次事件导致大量管理员账户凭证外泄，攻击者借此通过合法分发渠道传播恶意软件。受波及单位涵盖高校、人工智能研究项目、区块链服务商、软件公司及金融科技初创企业。受害者若响应编码验证码提示并执行其中指令，将无意间下载含恶意模块的文件。

早期攻击依赖系统内置工具部署，而当前趋势转向利用开源应用作为跳板实现横向渗透。一旦成功植入，恶意程序将定期回连命令控制节点以接收更新指令，维持长期潜伏状态。