El grupo de cibercriminales Lazarus, vinculado a Corea del Norte, ha sido identificado como responsable de una campaña de ingeniería social que distribuye tres tipos de malware multiplataforma: PondRAT, ThemeForestRAT y RemotePE.

Según un análisis de NCC Group’s Fox-IT, este ataque, registrado en 2024, tuvo como objetivo a una organización del sector de finanzas descentralizadas (DeFi), logrando comprometer el sistema de un empleado.

Una vez dentro, los atacantes emplearon distintos RATs (Remote Access Trojans) junto con herramientas adicionales para robar credenciales, establecer conexiones proxy y ejecutar acciones de reconocimiento dentro de la red. Posteriormente, migraron hacia un RAT más sigiloso, lo que indicaría una segunda fase del ataque.

Cómo operó la campaña

El ataque comenzó cuando los actores maliciosos se hicieron pasar por un empleado de una firma de trading a través de Telegram, utilizando sitios web falsos que imitaban a Calendly y Picktime para agendar reuniones con la víctima.

Aunque el vector inicial de acceso no se ha confirmado, los investigadores señalaron que los atacantes desplegaron un loader llamado PerfhLoader, encargado de instalar PondRAT, considerado una variante reducida de POOLRAT (también conocido como SIMPLESEA). Existen indicios de que se utilizó un exploit de día cero en el navegador Chrome durante el ataque.

Junto con PondRAT se entregaron otras herramientas, como capturadores de pantalla, keyloggers, ladrones de credenciales y cookies de Chrome, Mimikatz, FRPC y proxys como MidProxy y Proxy Mini.

• PondRAT: un RAT básico capaz de leer/escribir archivos, iniciar procesos y ejecutar shellcode. Actúa como primera carga útil y se comunica mediante HTTP(S) con un servidor C2.
• ThemeForestRAT: más avanzado, se ejecuta en memoria y puede ejecutar hasta veinte comandos distintos, como listar procesos, robar archivos, inyectar shellcode o establecer conexiones TCP. Comparte similitudes con el malware RomeoGolf, utilizado por Lazarus en el ataque contra Sony Pictures en 2014.
• RemotePE: desarrollado en C++, representa la herramienta más sofisticada del grupo, diseñada para objetivos de alto valor. Se carga en fases posteriores mediante RemotePELoader y DPAPILoader.

Un arsenal en evolución

Los investigadores destacan que PondRAT, aunque limitado, cumple su rol inicial en la intrusión, mientras que ThemeForestRAT aporta mayor flexibilidad y evasión al ejecutarse solo en memoria. Finalmente, RemotePE se reserva para operaciones críticas contra objetivos estratégicos.

El caso confirma una vez más la capacidad del Grupo Lazarus para ampliar y diversificar su arsenal de ciberataques, combinando ingeniería social, malware modular y técnicas de evasión avanzadas que suponen un desafío creciente para la ciberseguridad global.

Fuente: https://thehackernews.com/2025/09/lazarus-group-expands-malware-arsenal.html