Lazarus Sebar Malware RemotePE, Incar Perusahaan Kripto

Ancaman terhadap sektor keuangan dan cryptocurrency kembali meningkat setelah para peneliti keamanan siber mengungkap penggunaan malware baru bernama RemotePE oleh kelompok peretas Lazarus. Kelompok yang diduga memiliki keterkaitan dengan Korea Utara tersebut diketahui memanfaatkan malware canggih yang mampu beroperasi sepenuhnya di dalam memori komputer, sehingga sangat sulit dideteksi oleh sistem keamanan konvensional.

Temuan ini diungkap oleh Fox-IT, perusahaan keamanan siber yang merupakan anak usaha NCC Group. Dalam laporan terbarunya, Fox-IT menjelaskan bahwa RemotePE merupakan bagian dari rangkaian serangan berlapis yang dirancang untuk memberikan akses jangka panjang kepada pelaku ke sistem korban tanpa menimbulkan kecurigaan.

Keberadaan RemotePE menjadi perhatian serius karena malware ini dirancang khusus untuk menghindari deteksi dan meninggalkan jejak digital yang sangat minim. Kemampuan tersebut membuatnya berpotensi menjadi senjata siber yang efektif dalam operasi spionase maupun pencurian aset digital bernilai tinggi.

Terungkap Saat Menyerang Organisasi DeFi

Fox-IT pertama kali mengidentifikasi RemotePE pada September 2025 ketika melakukan investigasi terhadap serangan siber yang menargetkan sebuah organisasi di sektor Decentralized Finance (DeFi). Dalam insiden tersebut, para pelaku tidak hanya menggunakan RemotePE, tetapi juga menyebarkan malware lain seperti PondRAT dan ThemeForestRAT.

Serangan dimulai dengan teknik rekayasa sosial atau social engineering. Pelaku menghubungi korban melalui aplikasi Telegram dengan menyamar sebagai karyawan dari sebuah perusahaan perdagangan yang sah. Setelah berhasil membangun kepercayaan, korban diarahkan untuk mengikuti pertemuan daring melalui situs palsu yang meniru layanan penjadwalan populer seperti Calendly dan Picktime.

Metode ini menunjukkan bahwa Lazarus tidak hanya mengandalkan kemampuan teknis tingkat tinggi, tetapi juga memanfaatkan manipulasi psikologis untuk memperoleh akses awal ke perangkat target.

Bekerja dalam Tiga Tahap

Menurut para peneliti, infeksi RemotePE berlangsung melalui tiga tahap utama yang dirancang untuk menjaga kerahasiaan operasi.

Tahap pertama melibatkan komponen bernama DPAPILoader. Modul ini hadir dalam bentuk file DLL bernama Iassvc.dll dan bertugas mendekripsi payload yang tersimpan di dalam sistem menggunakan Windows Data Protection API (DPAPI). Teknologi ini memanfaatkan mekanisme perlindungan data bawaan Windows sehingga aktivitas malware lebih sulit dicurigai.

Setelah berhasil mendekripsi payload, tahap kedua dijalankan oleh RemotePELoader. Komponen ini menghubungi server jarak jauh yang dikendalikan pelaku untuk mengunduh modul utama malware. Sebelum menjalankan tugasnya, RemotePELoader menggunakan berbagai teknik penghindaran deteksi, termasuk metode Hell's Gate dan manipulasi Event Tracing for Windows (ETW), yang umum digunakan untuk memantau aktivitas sistem.

Tahap terakhir adalah eksekusi RemotePE itu sendiri. Malware yang ditulis menggunakan bahasa pemrograman C++ ini berfungsi sebagai Remote Access Trojan (RAT), yaitu perangkat lunak yang memungkinkan penyerang mengendalikan komputer korban dari jarak jauh.

Yang membuat RemotePE sangat berbahaya adalah kemampuannya untuk berjalan sepenuhnya di dalam memori tanpa pernah disimpan ke hard disk. Dengan demikian, malware tidak meninggalkan artefak file yang biasanya digunakan oleh perangkat keamanan untuk mendeteksi ancaman.

Memiliki Beragam Kemampuan Pengendalian

Setelah berhasil aktif di perangkat korban, RemotePE dapat menerima berbagai perintah dari server command-and-control (C2) yang dikendalikan operator.

Malware ini mampu mengubah konfigurasi komunikasi dengan server, memantau dan mengelola direktori kerja, memuat maupun menghapus modul DLL tambahan, serta menjalankan berbagai operasi terhadap file yang tersimpan di sistem korban.

Selain itu, pelaku juga dapat melihat daftar proses yang sedang berjalan, membuat proses baru, menghentikan aplikasi tertentu, hingga mengatur waktu jeda operasi malware agar aktivitasnya terlihat lebih alami dan tidak mencurigakan.

Kemampuan tersebut memberikan fleksibilitas tinggi bagi penyerang untuk melakukan pengintaian, mengumpulkan informasi sensitif, hingga mempersiapkan serangan lanjutan yang lebih besar.

Teknik Penghapusan File yang Sulit Dilacak

Salah satu fitur yang menarik perhatian peneliti adalah metode penghapusan file yang digunakan RemotePE. Sebelum menghapus sebuah file, malware akan menimpa isi file tersebut sebanyak tujuh kali menggunakan data tertentu. Setelah itu, nama file diubah dan file dihapus secara permanen.

Teknik ini bertujuan untuk mempersulit proses pemulihan data dan analisis forensik setelah serangan terjadi. Pola serupa sebelumnya juga ditemukan pada malware PondRAT dan POOLRAT, yang diduga memiliki keterkaitan erat dengan kelompok Lazarus.

Dikembangkan Selama Bertahun-Tahun

Analisis terhadap empat sampel RemotePE menunjukkan bahwa malware ini telah dikembangkan secara aktif sejak pertengahan 2023 hingga pertengahan 2024. Sampel tertua yang ditemukan memiliki tanggal kompilasi 4 Juli 2023, menandakan bahwa proyek pengembangan malware ini telah berlangsung cukup lama sebelum akhirnya digunakan dalam operasi nyata.

Para peneliti menilai bahwa penggunaan teknik environmental keying, eksekusi berbasis memori, kemampuan menghindari solusi Endpoint Detection and Response (EDR), serta minimnya jejak forensik menunjukkan bahwa RemotePE dirancang untuk operasi infiltrasi jangka panjang.

Alih-alih langsung mencuri data atau dana, pelaku dapat mempertahankan akses secara diam-diam selama berbulan-bulan sebelum melancarkan aksi utama. Strategi ini sejalan dengan pola operasi Lazarus yang selama bertahun-tahun dikenal menargetkan lembaga keuangan, perusahaan investasi, dan platform cryptocurrency di berbagai negara.

Lebih lanjut, tingkat deteksi malware yang sangat rendah juga menjadi indikator bahwa RemotePE kemungkinan hanya digunakan terhadap target bernilai tinggi. Bahkan sebelum laporan Fox-IT dipublikasikan, baik RemotePELoader maupun RemotePE belum terdeteksi oleh layanan pemindaian malware populer VirusTotal.

Temuan ini kembali menjadi pengingat bahwa sektor keuangan dan cryptocurrency masih menjadi sasaran utama kelompok peretas tingkat lanjut. Dengan teknik yang semakin canggih dan sulit dideteksi, organisasi di sektor tersebut dituntut untuk memperkuat sistem keamanan, meningkatkan kewaspadaan terhadap serangan rekayasa sosial, serta menerapkan pemantauan berlapis guna mencegah akses tidak sah ke infrastruktur penting mereka.