นักวิจัยด้านความปลอดภัยไซเบอร์เปิดเผยรายละเอียดของมัลแวร์ข้ามแพลตฟอร์มใหม่ล่าสุดชื่อ RemotePE ซึ่งถูกนำมาใช้โดยกลุ่มแฮกเกอร์ลาซารุส (Lazarus Group) ที่มีความเชื่อมโยงกับเกาหลีเหนือ โดยมีเป้าหมายโจมตีตรงไปยังองค์กรด้านการเงินและสกุลเงินดิจิทัล (คริปโตเคอร์เรนซี) การโจมตีครั้งนี้ถูกจัดเป็นห่วงโซ่การโจมตีหลายขั้นตอน (Multi-stage attack chain) ที่มีความซับซ้อนสูง

จากการวิเคราะห์ของ Fox-IT ซึ่งเป็นบริษัทในเครือ NCC Group พบว่ามัลแวร์ RemotePE นี้ทำงานร่วมกับโหลดเดอร์อีก 2 ตัว ได้แก่ DPAPILoader และ RemotePELoader โดย DPAPILoader จะทำหน้าที่ในการถอดรหัส (Decrypt) ข้อมูลเพื่อเริ่มต้นกระบวนการทำงานของมัลแวร์ในขั้นตอนแรก

สิ่งที่น่ากังวลคือ RemotePE ถูกออกแบบมาให้เป็น Remote Access Trojan (RAT) ที่ทำงานบนหน่วยความจำ (Memory-Only) โดยตรง การออกแบบลักษณะนี้ทำให้มัลแวร์สามารถหลบเลี่ยงการตรวจจับจากโปรแกรมป้องกันไวรัสแบบดั้งเดิมที่อาศัยการสแกนไฟล์บนฮาร์ดดิสก์ ทำให้การป้องกันและติดตามร่องรอยของภัยคุกคามนี้ค่อนข้างยาก

คำศัพท์เทคนิคที่น่าสนใจ

• Remote Access Trojan (RAT) – มัลแวร์ประเภทหนึ่งที่อนุญาตให้ผู้โจมตีสามารถควบคุมระบบคอมพิวเตอร์ของเหยื่อได้จากระยะไกล
• Memory-Only Malware – มัลแวร์ที่ทำงานอยู่ในหน่วยความจำ (RAM) โดยตรงโดยไม่มีการเขียนไฟล์ลงบนฮาร์ดดิสก์ เพื่อหลบเลี่ยงการตรวจจับ
• Loader – โปรแกรมขนาดเล็กที่ทำหน้าที่ดาวน์โหลด โหลด หรือถอดรหัสมัลแวร์หลักเพื่อเริ่มต้นกระบวนการทำงานบนระบบของเหยื่อ
• DPAPI (Data Protection Application Programming Interface) – ระบบความปลอดภัยของ Windows ที่ใช้ในการเข้ารหัสและป้องกันข้อมูล ซึ่งมัลแวร์สามารถลักลอบใช้เพื่อถอดรหัสข้อมูลได้

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/lazarus-deploys-remotepe-memory-only.html