У ході нещодавно виявленої кібератаки відоме державне хакерське угруповання Lazarus, яке пов’язують із Північною Кореєю, застосувало новий інструмент під назвою RemotePE. Головна технічна особливість цієї загрози полягає в тому, що вона є повністю «безфайловою». Це означає, що шкідливий код не записується на жорсткий диск комп’ютера у вигляді звичайних файлів, а завантажується та виконується безпосередньо в оперативній пам’яті пристрою. Зловмисники використовують техніку рефлексивного завантаження, яка дозволяє впроваджувати виконуваний файл формату Portable Executable безпосередньо у легітимні системні процеси операційної системи Windows. Такий підхід робить атаку невидимою для більшості традиційних антивірусних програм, які орієнтовані на перевірку файлів під час їхнього створення чи модифікації на диску, що дозволяє хакерам тривалий час залишатися непоміченими всередині компрометованої мережі.

Хронологія дослідження інциденту вказує на те, що первинне проникнення до корпоративних мереж жертв відбувалося через експлуатацію вразливостей у публічних вебсерверах або за допомогою цільового фішингу. Після закріплення у системі інструмент RemotePE встановлює зашифрований канал зв’язку із командним сервером зловмисників для отримання подальших інструкцій та вивантаження конфіденційних даних. Технічний аналіз показав, що цей модуль здатний динамічно підвантажувати додаткові інструменти шпигунства у пам’ять, мінімізуючи будь-які цифрові сліди. Наслідком використання цієї модифікації стало успішне викрадення інтелектуальної власності та внутрішньої документації кількох великих підприємств, при цьому стандартні системи моніторингу безпеки не зафіксували підозрілої активності на ранніх етапах вторгнення через маскування коду під легітимні процеси операційної системи.