#Netzwerk & Sicherheit · 3 Min. Lesezeit · Tim Rinkel

KRYPTO-ALARM! Nordkoreas Lazarus klaut JETZT mit Speicher-Trojaner — 577 MILLIONEN Dollar in vier Monaten

KRYPTO-ALARM! Nordkoreas Lazarus klaut JETZT mit Speicher-Trojaner — 577 MILLIONEN Dollar in vier Monaten

HAMMER: Nordkoreas Lazarus-Group hat in den ersten vier Monaten 2026 nach Branchenschätzungen rund 577 Millionen Dollar in Krypto erbeutet — 76 Prozent aller weltweiten Krypto-Diebstähle. Jetzt zeigt The Hacker News, mit welchem Werkzeug die Hackergruppe Banken und Börsen knackt: RemotePE, ein kompletter Trojaner ohne Spur auf der Festplatte.

UNGLAUBLICH: So läuft der Angriff ab

Lazarus arbeitet sich nicht mehr klassisch per Phishing-E-Mail rein, sondern per Telegram. Die Angreifer geben sich als Kollegen oder Recruiter aus, schicken einen fingierten Calendly- oder Picktime-Link für einen Termin und schleusen darüber den ersten Loader ein. Die Kette läuft dann so:

  1. DPAPILoader wird ausgeführt (DPAPI = Windows Data Protection API, eine vertrauenswürdige Standard-Komponente).
  2. DPAPILoader holt den RemotePELoader aus dem Netz — wieder nur in den RAM, nichts auf die Platte.
  3. RemotePELoader zieht das eigentliche RemotePE direkt vom C2-Server ins RAM.

Klassische Antivirus-Scans gucken in die Röhre. Selbst VirusTotal hatte vor Veröffentlichung keine Treffer auf die Tools.

GEFAHR! Warum Memory-Only so gefährlich ist

Wenn ein Endpoint nichts auf die Festplatte schreibt, hat dein klassisches EDR auf File-Basis keinen Anhaltspunkt. Forensiker brauchen einen Speicher-Dump zum richtigen Zeitpunkt — und der ist nach jedem Reboot weg. Das Toolset ist offensichtlich für Hochwert-Ziele reserviert, weil die Entdeckungswahrscheinlichkeit pro Einsatz extrem niedrig ist.

So härtest du DEIN Unternehmen in 30 MINUTEN

  1. Telegram als Erstkontakt sperren — oder zumindest in der Security-Awareness-Schulung als Top-Risiko platzieren. „Kollege aus Slack/Telegram bittet um Calendly-Termin“ = rote Lampe.
  2. EDR mit Memory-Forensik einsetzen (CrowdStrike Falcon Insight, Microsoft Defender for Endpoint, SentinelOne — alle drei haben Memory-Hooks).
  3. DPAPI-Storage auditieren — wer welche Secrets dort liegen hat, wer das Lade-Verhalten beobachtet.
  4. YARA-Regeln von SOC Prime / Mandiant integrieren — die ersten RemotePE-Indikatoren sind bereits öffentlich.

FAZIT: Der Angriff verschiebt sich vom Disk zum RAM

Fileless-Malware ist nicht neu, aber Lazarus macht sie zur Standard-Munition gegen Krypto- und Finanz-Targets. Wer 2026 noch glaubt, dass „kein File auf der Platte = sauberes System“ gilt, sammelt die nächsten Verluste ein. Memory-Forensik ist Pflicht.

Häufige Fragen

Wer ist betroffen?
Finanzdienstleister, Banken und vor allem Kryptobörsen weltweit. Wer als Mitarbeiter mit Zugriff auf Wallets oder Treasury-Systeme bei einer Krypto-Firma arbeitet, ist ein klassisches Lazarus-Ziel.
Wie erkenne ich einen Lazarus-Telegram-Köder?
Erstkontakt von einer dir unbekannten Person, die so tut, als kenne sie dich. Gefälschte Calendly- oder Picktime-Domains (oft Tippfehler oder Sub-Domains wie meet-calendly.io). Bitten um Test einer angeblichen Software, eines Whitepapers oder eines Crypto-Tools. Niemals Anhänge öffnen oder Skripte ausführen, die in solchen Chats geteilt werden.
Wie behebe ich das Problem nach einem Befall?
Sofort jeden potenziell infizierten Endpoint vom Netz nehmen und Memory-Dumps ziehen (LiME, FTK Imager, WinPmem). Forensik-Team einschalten, das auf In-Memory-Malware spezialisiert ist. Alle Wallet-Keys und API-Tokens rotieren, die der Nutzer berührt hat. Den Endpoint anschließend neu aufsetzen, kein Image-Restore.
Was hat das mit MEINER Firma zu tun, wenn ich nichts mit Krypto mache?
Lazarus ist Vorreiter — ihre Techniken werden in 12 bis 18 Monaten von kleineren kriminellen Gruppen kopiert. Memory-Forensik und gute Telegram-Awareness lohnen sich für jede Firma.

Quellen

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert