Lazarus Group Expande Arsenal de Malware com PondRAT, ThemeForestRAT e RemotePE

O grupo de ameaças Lazarus, ligado à Coreia do Norte, foi atribuído a uma campanha de engenharia social que distribui três malwares multiplataforma: PondRAT, ThemeForestRAT e RemotePE.

Observado pela NCC Group's Fox-IT em 2024, o ataque visou uma organização do setor de finanças descentralizadas (DeFi), comprometendo o sistema de um funcionário. A campanha começou com impersonação de funcionários em Telegram e uso de sites falsos para agendar reuniões.

O acesso inicial foi usado para implantar o carregador PerfhLoader, que então instalou o PondRAT - uma variante simplificada do POOLRAT. Junto com ele, foram entregues ferramentas como capturador de tela, keylogger, roubador de credenciais do Chrome, Mimikatz e programas de proxy.

Após cerca de três meses usando PondRAT e ThemeForestRAT, os atacantes limparam os sistemas e instalaram o RemotePE, um RAT mais sofisticado escrito em C++ provavelmente reservado para alvos de alto valor.

O PondRAT é um RAT primário que se comunica via HTTP(S) com servidores C2, enquanto o ThemeForestRAT oferece mais funcionalidades e é carregado diretamente na memória. O RemotePE representa o estágio mais avançado do ataque, recuperado através de múltiplos carregadores.

A campanha demonstra a evolução contínua dos métodos do Lazarus Group, usando combinações estratégicas de diferentes malwares em fases sequenciais de comprometimento.