En bref

  • Les chercheurs de Fox-IT ont documenté ce 25 mai 2026 RemotePE, un cheval de Troie d'accès distant déployé par le groupe nord-coréen Lazarus contre des entreprises financières et des plateformes de cryptomonnaies.
  • RemotePE s'exécute entièrement en mémoire vive, contourne les solutions EDR et utilise une chaîne d'infection en trois étapes reposant sur l'API Windows DPAPI.
  • Les organisations du secteur financier et de la DeFi doivent renforcer leur surveillance comportementale face à cette menace persistante avancée sans empreinte sur le disque.

Un RAT fantôme en mémoire, conçu pour l'espionnage long terme des plateformes crypto

Le 25 mai 2026, les chercheurs Yun Zheng Hu et Mick Koomen de Fox-IT, filiale du groupe NCC, ont publié une analyse technique approfondie d'un malware inédit baptisé RemotePE. Opéré par le groupe Lazarus, une équipe de hackers affiliée aux services de renseignement nord-coréens, ce cheval de Troie d'accès distant représente une avancée significative dans les capacités offensives de Pyongyang contre le secteur financier mondial. Le groupe est également connu sous les noms APT38, BlueNoroff et Hidden Cobra selon les différentes agences de cybersécurité qui le suivent.

Lazarus n'est pas un inconnu. Depuis 2014, ce collectif a été attribué par les gouvernements américain, britannique et sud-coréen à des campagnes d'attaques parmi les plus destructrices de l'histoire de la cybersécurité : le piratage de Sony Pictures en 2014, le vol de 81 millions de dollars à la Banque Centrale du Bangladesh via le réseau SWIFT en 2016, la propagation du ransomware WannaCry en 2017, et des centaines de vols de cryptomonnaies représentant plusieurs milliards de dollars cumulés. Selon Chainalysis, la Corée du Nord aurait dérobé environ 3 milliards de dollars en cryptoactifs depuis 2017, contribuant directement au financement de son programme d'armement balistique.

RemotePE s'inscrit dans cette longue tradition d'innovation technique. Le malware repose sur une chaîne d'infection en trois étapes soigneusement conçue pour minimiser les traces laissées sur les systèmes compromis. La première étape implique un chargeur baptisé DPAPILoader, matérialisé par une DLL nommée Iassvc.dll. Ce composant exploite l'API Windows DPAPI (Data Protection API), un mécanisme natif de Windows normalement utilisé pour chiffrer des données sensibles liées à un compte utilisateur comme des mots de passe ou des clés cryptographiques. En détournant DPAPI, DPAPILoader déchiffre et charge en mémoire un second composant appelé RemotePELoader, sans jamais écrire de fichier exécutable suspect sur le disque dur.

RemotePELoader, la deuxième étape, se charge à son tour de déchiffrer et d'exécuter directement en mémoire vive le payload final : le RAT RemotePE lui-même. Ce dernier est écrit en C++ et communique avec un serveur de commande et de contrôle pour recevoir des instructions à distance. La particularité fondamentale de RemotePE est son exécution strictement en mémoire vive, une technique dite de malware fileless. Aucune trace de l'agent malveillant n'est écrite sur le disque dur à aucune étape de son exécution, ce qui rend la détection par les antivirus traditionnels basés sur la signature de fichiers totalement inefficace.

Les capacités opérationnelles de RemotePE sont celles d'un RAT complet : capture d'écran, exfiltration de fichiers, enregistrement des frappes clavier, exécution de commandes shell à distance et collecte de renseignements sur l'environnement du poste infecté. Fox-IT souligne que le malware intègre un mécanisme de keying environnemental, c'est-à-dire qu'il vérifie des paramètres spécifiques à l'environnement cible avant de s'activer, évitant ainsi de s'exécuter dans des bacs à sable d'analyse automatisée. Cette technique anti-sandbox est une marque de fabrique des outils APT sophistiqués et témoigne d'un développement professionnel de haut niveau.

L'infection initiale documentée par Fox-IT illustre les méthodes d'ingénierie sociale raffinées caractéristiques de Lazarus. Un employé d'une organisation du secteur de la finance décentralisée a été approché sur Telegram par un faux représentant d'une société de trading. L'attaquant a créé de fausses pages sur les plateformes Calendly et Picktime au nom de l'entreprise usurpée pour programmer une prétendue réunion professionnelle. Le fichier malveillant a été transmis dans ce contexte de confiance artificielle. Cette technique dite du faux recruteur est utilisée par Lazarus depuis au moins 2020 sous l'appellation Opération DreamJob.

Selon Fox-IT, les artefacts les plus anciens de DPAPILoader remontent à novembre 2023, suggérant que cette campagne est active depuis plus de deux ans sans avoir été documentée publiquement. La première intrusion confirmée dans le secteur de la finance décentralisée remonte à fin 2024. Cette durée d'activité non détectée souligne l'efficacité des techniques d'évasion employées et la difficulté de détecter des menaces persistantes avancées opérant avec un faible footprint forensique sur les systèmes compromis.

The Hacker News souligne que RemotePE s'ajoute à un arsenal croissant de RAT développés par les sous-groupes de Lazarus, aux côtés de PondRAT et ThemeForestRAT documentés en septembre 2025. Cette multiplication des outils traduit une stratégie de diversification qui complique considérablement le travail des défenseurs : chaque nouvel outil nécessite de nouvelles signatures de détection et de nouveaux indicateurs de compromission, et le partage d'infrastructure entre ces différents malwares reste limité, empêchant les corrélations automatiques entre incidents.

Lazarus et la menace persistante sur la finance décentralisée

La publication de l'analyse de Fox-IT intervient dans un contexte de préoccupation croissante des autorités mondiales face aux cyberattaques nord-coréennes sur le secteur des cryptomonnaies. En janvier 2025, le FBI a attribué à Lazarus le vol de 1,5 milliard de dollars sur la plateforme Bybit, à ce jour le plus grand vol de cryptomonnaies de l'histoire. Les autorités américaines ont inculpé plusieurs individus soupçonnés d'être membres du groupe, et l'OFAC a sanctionné des entités liées à ces activités. Ces fonds volés contribuent directement, selon les services de renseignement américains, au financement du programme de missiles balistiques de Pyongyang.

La technique fileless employée par RemotePE représente un défi structurel pour la défense en profondeur. Les solutions de sécurité traditionnelles basées sur la signature de fichiers sont totalement inefficaces face à un malware qui ne réside jamais sur le disque. Les défenseurs doivent s'appuyer sur une surveillance comportementale en temps réel : détection d'injections de processus suspectes, monitoring des appels API inhabituels vers DPAPI dans des contextes inattendus, et analyse des connexions réseau sortantes vers des domaines récemment enregistrés sur des ports non standard.

Le vecteur d'infection initial via de l'ingénierie sociale sur des plateformes de prise de rendez-vous falsifiées illustre la sophistication croissante des approches humaines dans les campagnes APT. Les entreprises du secteur financier et crypto doivent renforcer leur formation à la détection des tentatives de phishing et d'usurpation d'identité professionnelle, en particulier sur les canaux de messagerie instantanée comme Telegram, Discord et LinkedIn. La création de faux profils crédibles et de faux sites institutionnels témoigne d'un investissement opérationnel significatif de la part des attaquants.

Du point de vue réglementaire, la récurrence des attaques de Lazarus sur le secteur crypto alimente le débat sur l'encadrement des plateformes DeFi. L'Union européenne, avec son règlement MiCA entré en application en 2024, impose désormais des exigences de sécurité et de traçabilité aux prestataires de services sur cryptoactifs. Mais les plateformes DeFi purement décentralisées restent en grande partie en dehors du champ de ces réglementations, ce qui complique les efforts de prévention et de récupération des fonds volés lors d'attaques sophistiquées.

Ce qu'il faut retenir

  • RemotePE est un RAT fileless de Lazarus Group qui s'exécute entièrement en mémoire, contourne les EDR et laisse un footprint forensique minimal sur les systèmes ciblés.
  • La chaîne d'infection exploite DPAPI de Windows en trois étapes et débute par de l'ingénierie sociale sur Telegram, ciblant des employés de la finance et de la DeFi.
  • Les organisations exposées doivent déployer une surveillance comportementale EDR/XDR, auditer les usages de DPAPI et former leurs équipes à la détection du vecteur faux recruteur.

Comment détecter un malware fileless comme RemotePE ?

La détection d'un malware fileless repose sur l'analyse comportementale et non sur la signature de fichiers. Les indicateurs à surveiller incluent des appels inhabituels à l'API DPAPI depuis des processus non standards, des injections de DLL dans des processus légitimes, des connexions réseau sortantes vers des domaines récemment enregistrés sur des ports non standard, et des comportements de type keylogging ou capture d'écran déclenchés sans interaction utilisateur. Les solutions EDR modernes disposant de règles de détection comportementale activées et à jour sont les mieux armées pour détecter ce type de menace. L'activation de l'audit complet des appels API Windows dans les environnements financiers sensibles est également recommandée.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact