Selon Cryptopolitan, le 26 mai, des analystes en cybersécurité ont découvert un nouveau cheval de Troie d’accès à distance sans fichier (RAT) appelé RemotePE, associé au groupe Lazarus lié à la Corée du Nord. Lazarus l’utilise pour attaquer des banques et des entreprises de cryptomonnaies. RemotePE s’exécute entièrement en mémoire, sans toucher au système de fichiers ; les outils antivirus et d’investigation forensique classiques sont donc très difficiles à détecter.
Chaîne d’attaque en trois étapes de RemotePE : mécanisme de confirmation sans contact avec le système de fichiers
RemotePE exécute l’attaque en trois étapes interconnectées, l’ensemble du processus ne touchant pas le système de fichiers :
Étape 1 - DPAPILoader : bibliothèque de liaison dynamique (DLL, dont le nom de fichier est également Iassvc.dll depuis novembre 2023), qui utilise le chiffrement Windows DPAPI pour déchiffrer la charge utile stockée sur le disque
Étape 2 - RemotePELoader : établit une connexion HTTP avec le serveur C2 de aes-secure[.]net ; utilise la technique de Hell's Gate et des correctifs ETW pour contourner les solutions EDR
Étape 3 - RemotePE : la charge utile principale est téléchargée et exécutée en mémoire ; elle ne touche jamais au système de fichiers
Une entreprise DeFi confirme avoir subi des attaques consécutives de trois RAT : RemotePE, PondRAT et ThemeForestRAT.
Techniques d’ingénierie sociale : se faire passer pour des employés d’une société de transactions
Les attaquants se font passer sur Telegram pour des employés d’une entreprise de transactions, en utilisant de faux Calendly et Picktime pour organiser des rendez-vous menant à des attaques d’ingénierie sociale ; après avoir obtenu l’approbation des réunions, ils lancent une chaîne d’installation de logiciels malveillants en trois étapes. Fox-IT indique que cette méthode de « manipulation humaine » permet aux attaquants de concevoir des leurres d’efficacité ciblés sur des objectifs précis.
Vols statistiques de Lazarus Group en 2026 : TRM Labs confirme les données
TRM Labs confirme que, au cours des quatre premiers mois de 2026, Lazarus Group a volé environ 5,77 milliards de dollars d’actifs cryptographiques via seulement deux événements majeurs, représentant 76% du total mondial des vols de cryptomonnaies en 2026. La proportion d’attaques de pirates liés à la Corée du Nord, qui atteignait un chiffre à un seul chiffre les années précédentes, est passée à 64% en 2025 et à 76% en 2026 ; depuis 2017, le groupe aurait accumulé environ 60 milliards de dollars de vols, ces fonds étant, selon les informations, utilisés pour la recherche et le développement d’armes et d’armes nucléaires de la Corée du Nord, malgré les sanctions.
Questions fréquentes
Quelle est la différence fondamentale entre RemotePE et un RAT classique ?
La caractéristique clé de RemotePE est l’exécution purement en mémoire (sans déposer de fichiers) ; les trois phases d’exécution ne touchent pas le système de fichiers, ce qui rend les antivirus et outils de forensique classiques basés sur la détection de fichiers difficiles à repérer. Les analystes de Fox-IT soulignent que cette conception vise à permettre une dissimulation à long terme pour la reconnaissance, plutôt qu’une destruction à court terme.
Comment Stage 2 RemotePELoader contourne-t-il les solutions EDR ?
RemotePELoader utilise la technique de Hell's Gate et des correctifs ETW pour contourner les solutions de détection et de réponse au niveau des endpoints (EDR). Ces techniques modifient le mécanisme de suivi des événements du système et invoquent directement des appels système, en contournant la surveillance via les hooks d’API de l’EDR.
Comment les fonds volés par Lazarus Group sont-ils suivis ?
TRM Labs est la principale société d’analyse blockchain qui suit les activités de Lazarus Group ; elle confirme les statistiques de vol d’environ 5,77 milliards de dollars au cours des quatre premiers mois de 2026, ainsi que le record d’environ 60 milliards de dollars cumulés depuis 2017. Les méthodes de suivi spécifiques sont conformes au rapport original de TRM Labs.
