Le groupe Lazarus de Corée du Nord se tourne vers les logiciels malveillants sans fichier dans de nouvelles attaques crypto

Des analystes en cybersécurité ont découvert un nouveau cheval de Troie d'accès à distance (RAT) sans fichier, baptisé RemotePE. Il est utilisé par le groupe Lazarus, un groupe de cybercriminels présumé lié à la Corée du Nord, pour cibler des banques et des entreprises crypto.

Selon une analyse récente, ce malware fonctionne entièrement en mémoire, ce qui rend quasiment impossible toute trace sur les systèmes informatiques affectés.

Le groupe Lazarus s'appuie sur l'ingénierie sociale pour escroquer les investisseurs

Le groupe Lazarus initie le piratage par des techniques d'ingénierie sociale. Ses membres se font passer pour des employés de sociétés de trading via Telegram. Pour ce faire, ils utilisent de fausses copies de Calendly et de Picktime, largement utilisés pour planifier des réunions.

Après avoir obtenu l'approbation d'une réunion, la chaîne d'événements se déroule jusqu'à l'installation du premier malware. Cette méthode dite « human in the loop » permet aux opérateurs de Lazarus de développer des leurres efficaces.

Le malware fonctionne via une chaîne en trois étapes bien coordonnée, visant à réduire les opérations sur disque. La première est DPAPILoader. Il s'agit d'une bibliothèque de liens dynamiques (DLL), également connue sous le nom de fichier Iassvc.dll depuis novembre 2023.

Le programme utilise l'interface de programmation d'application de protection des données Windows (DPAPI) pour décrypter une charge utile stockée sur le disque.

La charge utile décryptée est ensuite transmise à RemotePELoader, qui établit une connexion HTTP vers le C2 à l'adresse aes-secure[.]net. Ensuite, il télécharge et exécute la dernière étape RemotePE en mémoire.

Pour contourner les solutions EDR, RemotePELoader utilise les techniques Hell's Gate et l'ETW Patching afin d'échapper à la détection.

Enfin, la charge utile principale du RAT RemotePE n'entre jamais en contact avec le système de fichiers, maintenant une visibilité forensique faible tout au long de la chaîne d'attaque. Ce malware a été découvert pour la première fois en septembre 2025.

Dans l'incident signalé, l'infrastructure d'une société de finance décentralisée (DeFi) a été compromise par trois RAT différents — RemotePE, PondRAT et ThemeForestRAT — qui se sont finalement succédé les uns aux autres.

Les technologies avancées et l'IA deviennent le pire cauchemar des traders

Auparavant, les investisseurs crypto se tournaient vers l'IA et la technologie pour optimiser leurs transactions. Désormais, ces mêmes outils sont tombés entre les mains des hackers, leur causant d'énormes pertes financières.

Le chiffrement environnemental par DPAPI, l'exécution en mémoire uniquement, l'ETW patching et Hell's Gate rendent RemotePE quasiment indétectable par les méthodes traditionnelles. Les analystes de Fox-IT, affilié au groupe NCC, ont noté que ces caractéristiques suggèrent que le malware est conçu pour se maintenir sur le long terme afin de mener des opérations de reconnaissance avant de lancer une attaque, contrairement aux attaques de malwares perturbateurs classiques.

Le groupe Lazarus a déjà volé environ 577 millions de dollars en crypto au cours des quatre premiers mois de 2026. Cela représente 76 % de tous les vols de crypto dans le monde, malgré seulement deux incidents de piratage majeurs, selon la société d'analyse blockchain TRM Labs.

Le pourcentage de piratages crypto attribuables à la Corée du Nord a fortement augmenté. De chiffres à un seul digit les années précédentes à 64 % en 2025 et 76 % en 2026. Le montant record qu'ils ont volé s'élève désormais à 6 milliards de dollars depuis 2017. Ces fonds financeraient prétendument les programmes d'armement et de développement nucléaire du pays dans un contexte de sanctions.

Les hackers se tournent vers l'IA pour déstabiliser les développeurs des grandes entités technologiques

Des experts en cybersécurité ont découvert une attaque à grande échelle dans laquelle des hackers ont ciblé plus de 700 sites utilisant le système de gestion de contenu Ghost, en exploitant une faille critique d'injection SQL. Ces cyberattaques ont donné aux attaquants accès aux noms d'utilisateur et mots de passe des comptes administrateurs, leur permettant d'injecter des malwares via des redirections JavaScript dans leurs canaux de distribution ClickFix.

Les plateformes ciblées comprennent des établissements universitaires, des projets d'IA, des services blockchain, des fournisseurs de logiciels en tant que service (SaaS), des sources de recherche en cybersécurité, des agences de presse et des sociétés fintech.

Les victimes qui tombent sur le faux CAPTCHA sont invitées à entrer une chaîne encodée en Base64 dans la boîte de dialogue Exécuter. À cette étape, elles peuvent télécharger un fichier ZIP contenant un script batch. Ce script batch exécute ensuite une commande PowerShell qui récupère soit une DLL signée, soit des fichiers JavaScript depuis un serveur distant.

Les versions antérieures du malware exécutaient une DLL via rundll32.exe. Cependant, les versions récentes installent un programme d'installation Inno Setup pour une version open source de l'application Electron appelée Grape. Une fois installé, le malware devient persistant et interroge le domaine C2 web-telegram[.]ug toutes les 30 secondes.

Les esprits crypto les plus brillants lisent déjà notre newsletter. Vous voulez en faire partie ? Rejoignez-les.