Le groupe Lazarus, en Corée du Nord, déploie le cheval de Troie RemotePE sans fichier, ciblant les cryptomonnaies et les banques

Des analystes en cybersécurité ont découvert un nouveau cheval de Troie d'accès à distance (RAT) sans fichier, nommé RemotePE. Il est utilisé par le groupe Lazarus, un groupe de cybercriminels soupçonné d'être lié à la Corée du Nord, pour cibler des banques et des entreprises de cryptomonnaies.

D'après une analyse récente, ce logiciel malveillant fonctionne entièrement en mémoire, ce qui rend presque impossible de laisser des traces sur les systèmes informatiques infectés.

Le groupe Lazarus utilise l'ingénierie sociale pour escroquer les investisseurs

Le groupe Lazarus initie le piratage par des techniques d'ingénierie sociale. Ses membres se font passer pour des employés de sociétés de trading via Telegram. Pour ce faire, ils utilisent de fausses copies de Calendly et Picktime, applications couramment utilisées pour la planification de réunions.

Une fois l'autorisation de réunion obtenue, le processus se déroule jusqu'à l'installation du premier logiciel malveillant. Cette méthode, qui implique une intervention humaine, permet aux opérateurs de Lazarus de concevoir des leurres efficaces.

Le logiciel malveillant fonctionne selon une chaîne en trois étapes bien coordonnée visant à réduire les opérations sur le disque. La première étape est DPAPILoader. Il s'agit d'une bibliothèque de liens dynamiques (DLL), également connue sous le nom de fichier Iassvc.dll depuis novembre 2023.

Le programme utilise l'interface de programmation d'applications de protection des données Windows (DPAPI) pour déchiffrer une charge utile stockée sur disque.

La charge utile déchiffrée est ensuite transmise à RemotePELoader, qui établit une connexion HTTP avec le serveur de commande et de contrôle (C2) à l'adresse aes-secure[.]net. Après cela, il télécharge et exécute en mémoire la dernière étape de RemotePE.

Pour contourner les solutions EDR, RemotePELoader utilise les techniques Hell's Gate et le patch ETW pour échapper à la détection.

Enfin, la charge utile principale du RAT RemotePE n'entre jamais en contact avec le système de fichiers, ce qui garantit une faible visibilité pour les analystes tout au long de la chaîne d'attaque. Ce logiciel malveillant a été découvert pour la première fois en septembre 2025.

Dans l'dentrapporté, une entreprise de finance décentralisée (DeFi) a vu son infrastructure compromise par trois RAT différents — RemotePE, PondRAT et ThemeForestRAT — qui ont fini par se remplacer les uns les autres.

Les technologies de pointe et l'IA se transforment en le pire cauchemar des traders

Auparavant, les investisseurs en cryptomonnaies utilisaient l'IA et les technologies numériques pour optimiser leurs transactions. Aujourd'hui, ces mêmes outils sont tombés entre les mains de pirates informatiques, leur causant d'énormes pertes financières.

Le chiffrement environnemental via DPAPI, l'exécution en mémoire uniquement, le patch ETW et Hell's Gate rendent RemotePE quasiment indétectable par les méthodes traditionnelles. Les analystes de Fox-IT, filiale de NCC Group, ont noté que ces caractéristiques suggèrent que ce logiciel malveillant est conçu pour assurer sa pérennité à long terme et effectuer des missions de reconnaissance avant de lancer une attaque, contrairement aux attaques de logiciels malveillants disruptifs classiques.

Le groupe Lazarus a déjà dérobé environ 577 millions de dollars en cryptomonnaies au cours des quatre premiers mois de 2026. Cela représente 76 % de tous les vols de cryptomonnaies dans le mondede piratage majeursdent, selon la société d'analyse blockchain TRM Labs.

Le pourcentage de piratages de cryptomonnaies imputables à la Corée du Nord a fortement augmenté, passant de quelques pourcents les années précédentes à 64 % en 2025 et 76 % en 2026. Le montant record des fonds volés s'élève désormais à 6 milliards de dollars depuis 2017. Ces fonds serviraient vraisemblablement à financer les programmes d'armement et de développement nucléaire du pays, malgré les sanctions.

Les pirates informatiques utilisent l'IA pour déstabiliser les développeurs des principales entités technologiques

Des experts en cybersécurité ont découvert une attaque de grande ampleur au cours de laquelle des pirates ont ciblé plus de 700 sites utilisant le système de gestion de contenu Ghost, en exploitant une faille critique d'injection SQL. Ces cyberattaques ont permis aux attaquants d'accéder aux identifiants et mots de passe des comptes administrateurs, ce qui leur a permis d'injecter des logiciels malveillants via des redirections JavaScript dans leurs canaux de distribution ClickFix.

Les plateformes ciblées comprennent les établissements universitaires, les projets d'IA, blockchain , les fournisseurs de logiciels en tant que service (SaaS), les sources de recherche en cybersécurité, les agences de presse et les entreprises fintech.

Les victimes qui rencontrent le faux CAPTCHA sont invitées à saisir une chaîne encodée en Base64 dans la boîte de dialogue Exécuter. À cette étape, elles peuvent télécharger un fichier ZIP contenant un script batch. Ce script exécute ensuite une commande PowerShell qui récupère une DLL signée ou des fichiers JavaScript depuis un serveur distant.

Les versions précédentes du logiciel malveillant exécutaient une DLL via le fichier rundll32.exe. Cependant, les versions récentes installent un programme d'installation Inno Setup pour une version open source de l'applicationtron appelée Grape. Une fois installé, le logiciel malveillant devient persistant et interroge le domaine C2 web-telegram[.]ug toutes les 30 secondes.