Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์

กลุ่ม Lazarus ของเกาหลีเหนือใช้มัลแวร์ชื่อ RemotePE ซึ่งรันทั้งหมดใน Memory ไม่มีไฟล์บนดิสก์เลย ทำให้ตรวจจับยากมาก โดยใช้ Loader chain สองชั้นคือ DPAPILoader และ RemotePELoader ก่อนโหลด RAT เต็มรูปแบบจาก C2 มาทำงานในหน่วยความจำ นักวิจัยจาก Fox-IT พบว่าเครื่องมือชุดนี้ถูกพัฒนาระหว่างปี 2566-2567 และไม่เคยปรากฏใน VirusTotal ก่อนการเปิดเผย บ่งชี้ว่าถูกสงวนไว้สำหรับเป้าหมายมูลค่าสูงโดยเฉพาะ