Allein in den ersten vier Monaten des Jahres 2026 erbeuteten die nordkoreanischen Staatshacker rund 577 Millionen Dollar in Kryptowährungen – das entspricht 76 Prozent aller weltweit gestohlenen Digital-Assets in diesem Zeitraum.
Seit 2017 summiert sich die Beute der Gruppe auf geschätzte sechs Milliarden Dollar. Besonders besorgniserregend für Sicherheitsexperten: Lazarus setzt zunehmend auf eine neue Generation von Schadsoftware, die herkömmliche Schutzsysteme nahezu wirkungslos macht.
Angesichts der massiven Zunahme komplexer Angriffe durch Gruppen wie Lazarus müssen Unternehmen ihre Verteidigungsstrategien grundlegend überdenken. Dieser kostenlose Ratgeber zeigt, wie Sie Sicherheitslücken schließen und Ihre IT-Sicherheit ohne hohe Investitionen auf ein neues Level heben. IT-Sicherheit jetzt ohne teure Investitionen stärken
Die neue Waffe: RemotePE – ein Geist im System
Im Zentrum der aktuellen Angriffswelle steht ein sogenannter fileless Remote Access Trojan (RAT) mit dem Namen RemotePE. Die von den Sicherheitsfirmen Fox-IT und NCC Group analysierte Schadsoftware operiert vollständig im Arbeitsspeicher infizierter Systeme und hinterlässt keine Spuren auf der Festplatte. Herkömmliche Virenscanner, die nach verdächtigen Dateisignaturen suchen, erkennen die Bedrohung nicht.
Die Infektion erfolgt in drei präzise orchestrierten Schritten. Alles beginnt mit gezieltem Social Engineering über den Messengerdienst Telegram. Die Angreifer geben sich als Personalvermittler oder Mitarbeiter bekannter Handelsfirmen aus und locken ihre Opfer auf gefälschte Terminbuchungsseiten, die Diensten wie Calendly oder Picktime täuschend ähnlich sehen.
Drei-Stufen-Infektion: Vom Kalender zum Kontrollverlust
Die technische Umsetzung startet mit der Komponente DPAPILoader, die oft in einer Datei namens Iassvc.dll versteckt ist. Sie nutzt die Windows Data Protection API (DPAPI), um die nächste Angriffsstufe zu entschlüsseln. Besonders raffiniert: Der Entschlüsselungsprozess ist an das Benutzerkonto des Opfers gebunden. Das macht eine Analyse der Malware auf automatisierten Plattformen wie VirusTotal praktisch unmöglich.
In der zweiten Phase stellt der RemotePELoader eine Verbindung zu Kommando- und Kontrollservern her. Er deaktiviert Sicherheitsmechanismen wie das Event Tracing for Windows (ETW) und macht damit Endpunkt-Schutzsysteme blind. Anschließend wird die finale Schadsoftware direkt in den Arbeitsspeicher injiziert.
Der in C++ geschriebene RemotePE-Trojaner gewährt den Angreifern die vollständige Kontrolle über das infizierte System – von der Prozessverwaltung über DLL-Manipulation bis hin zu Dateioperationen. Um jede Wiederherstellung gelöschter Daten zu verhindern, überschreibt die Malware Dateien siebenmal, bevor sie sie endgültig löscht.
Menschliche Steuerung statt Automatisierung
Ein besonderes Merkmal der Lazarus-Operationen ist der „Human-in-the-Loop“-Ansatz. Analysen des Datenverkehrs zeigen, dass die Malware nur dann Befehle erhält, wenn ein menschlicher Operator aktiv ist. Die Aktivitätsfenster entsprechen der Zeitzone UTC+9 – den regulären Arbeitszeiten in Nordkorea. Diese manuelle Steuerung erlaubt es den Hackern, ihre Taktiken in Echtzeit anzupassen und unentdeckt zu bleiben.
Für die Persistenz nach Systemneustarts setzt Lazarus auf sogenannte „Phantom-DLLs“ wie tsvipsrv.dll und wlbsctrl.dll. Diese nutzen aus, wie Windows bestimmte dienstbezogene Dateien lädt. Zudem verwenden die Angreifer die als „Hell’s Gate“ bekannte Technik für direkte Systemaufrufe, die die üblichen Überwachungstools umgeht.
Entwicklung über Jahre hinweg
RemotePE ist kein Ad-hoc-Projekt. Erste Versionen der Malware datieren auf Juli 2023 zurück, auch wenn Sicherheitsforscher sie erst im September 2025 identifizierten. Mindestens vier verschiedene Varianten zeigen eine kontinuierliche Weiterentwicklung des Codes bis ins Frühjahr 2024. Die Nordkoreaner haben offenbar viel Zeit und Ressourcen investiert, um ihre neue Waffe zu perfektionieren.
Da Hacker immer häufiger auf psychologische Manipulation und Social Engineering setzen, wird der Faktor Mensch zur entscheidenden Schwachstelle. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen die neuesten Betrugsmaschen absichern kann. Kostenloses Anti-Phishing-Paket für Unternehmen herunterladen
Breitere Bedrohungslandschaft
Die Angriffe beschränken sich nicht auf Windows-Systeme. In einem dokumentierten Fall infiltrierte Lazarus ein DeFi-Unternehmen mit einer Kombination aus RemotePE und spezialisierten Schadprogrammen wie PondRAT und ThemeForestRAT, die auch Linux- und macOS-Umgebungen kompromittieren können.
Die Bedrohungslage für die Krypto-Industrie ist jedoch breiter. Ende Mai 2026 erlitt der Stablecoin-Emittent StablR einen Exploit mit EURR- und USDR-Token, der einen Schaden von 13,5 Millionen Dollar verursachte. Gleichzeitig identifizierten Sicherheitsforscher die „TrapDoor“-Kampagne mit über 34 schädlichen Softwarepaketen in Paketmanagern wie npm und PyPI, die Wallet-Daten und API-Zugangsdaten von Entwicklern stehlen sollten.
Ausblick: Null Vertrauen als neue Strategie
Die Verschiebung hin zu dateiloser, speicherresidenter Malware stellt Unternehmen vor enorme Herausforderungen. Sicherheitsexperten empfehlen Finanzinstituten und Krypto-Firmen dringend den Aufbau einer „Zero-Trust“-Architektur. Da der erste Einfallspunkt oft Social Engineering auf Messaging-Plattformen ist, gelten Mitarbeiterschulungen und strenge Kommunikationsprotokolle als erste Verteidigungslinie.
Zur Abwehr von RemotePE werden spezielle Speicherüberwachungstools und verhaltensbasierte Erkennungssysteme empfohlen, die anomale Systemaufrufe identifizieren können. Auch Multi-Faktor-Authentifizierung und Hardware-Wallets für größere Bestände gelten als wirksame Schutzmaßnahmen.
Angesichts der kontinuierlichen Weiterentwicklung ihrer Werkzeuge ist davon auszugehen, dass die Lazarus Group ihre Dominanz in der Cyberkriminalität weiter ausbauen wird – mit noch mehr Automatisierung und weiteren Verschleierungstechniken.
