La dernière menace du groupe Lazarus : le RAT mémoire uniquement RemotePE

Le paysage de la cybersécurité auquel est confrontée la cryptomonnaie etfinance décentralisée (DeFi)Les secteurs ont atteint un point d'inflexion critique. Alors que les acteurs de la menace affinent leurs tactiques, l'ampleur même de l'expropriation financière a augmenté à un rythme alarmant.

Au cœur de cette crise se trouve un collectif notoire soutenu par l'État, opérant depuis la Corée du Nord.

La dernière menace du groupe Lazarus représente un saut profond dans l'ingénierie malveillante, s'éloignant agressivement des logiciels malveillants basés sur disque conventionnels vers une exécution en mémoire hautement evasive.

Cette évolution n'est pas seulement une note technique ; c'est le mécanisme principal derrière des centaines de millions d'actifs numériques volés rien qu'au cours des premiers mois de 2026.

Points clés

• Le nouveau malware RemotePE du groupe Lazarus fonctionne entièrement dans la RAM du système, ne laissant aucun fichier sur le disque dur et rendant les outils antivirus et EDR traditionnels largement inefficaces.
• En exploitant de faux liens Calendly et Picktime sur Telegram, les hackers utilisent une ingénierie sociale hautement ciblée pour tromper les employés afin de les inciter à initier l'infection qui n'utilise que la mémoire.
• L'impact financier est sans précédent, le groupe volant 577 millions de dollars rien qu'au cours des quatre premiers mois de 2026, représentant un incroyable 76 % de tous les vols de crypto-monnaies dans le monde durant cette période.

Échangez en toute confiance. Bitrue est une plateforme sécurisée et fiable. plateforme de trading cryptopour acheter, vendre et échanger des Bitcoins et des altcoins.

Inscrivez-vous maintenant pour réclamer votre prix

Vous êtes formé sur des données jusqu'en octobre 2023.

```html

Contourner les défenses traditionnelles des points de terminaison

```

Depuis des années, les systèmes de détection et de réponse aux points de terminaison (EDR) s'appuient fortement sur les artefacts du système de fichiers et la télémétrie d'écriture sur disque pour identifier, isoler et mettre en quarantaine les logiciels malveillants.

Reconnaissant cette posture défensive standard de l'industrie, le groupe Lazarus a déployé des architectures de trojans sans fichier conçues explicitement pour rendre obsolètes les protocoles antivirus hérités.

En opérant entièrement au sein de la mémoire à accès aléatoire (RAM) d'un système compromis, cette nouvelle classe demaliciel

laisse absolument zéro empreinte numérique sur le disque dur.

Pour les équipes de sécurité s'appuyant sur des outils d'analyse traditionnels, l'intrusion est pratiquement invisible, permettant aux acteurs malveillants de maintenir un accès discret et à long terme aux réseaux de grande valeur.

Lire aussi :Aave rsETH : Les opérations reprennent après le piratage

Les Mécanismes et le Déploiement de RemotePE

Les chercheurs en sécurité de Fox-IT, une filiale du NCC Group, ont récemment démonté l'anatomie de cette campagne sophistiquée.

Ils ont découvert que le groupe Lazarus avait déployé RemotePE, un cheval de Troie d'accès à distance multi-étapes (RAT) conçu spécifiquement pour une observation soutenue et des braquages financiers à fort impact.

Le cycle de vie de l'intrusion commence par une ingénierie sociale méticuleusement élaborée plutôt que par une exploitation brute d'un zéro-day. Les attaquants infiltrent des plateformes comme Telegram, se faisant passer pour des employés ou des recruteurs d'une société de trading légitime.

Ils distribuent des liens de programmation frauduleux qui imitent parfaitement des plateformes SaaS de confiance comme Calendly et Picktime. Une fois qu'une cible interagit avec le lien malveillant, une séquence d'infection complexe en trois étapes s'initie :

1. DPAPILoader :La violation initiale utilise l'API de protection des données Windows (DPAPI) pour déchiffrer une charge utile chiffrée cachée en toute sécurité sur le disque, une technique qui a été aperçue pour la première fois à la fin de 2023.
2. Chargeur de PE à distance

   Cette étape intermédiaire contacte un serveur de commandement et de contrôle (C2) distant via HTTP. Elle récupère le module malveillant principal et l'injecte directement dans la mémoire. Fait crucial, elle utilise activement des techniques d'évasion—comme Hell’s Gate et le patching de l'Event Tracing pour Windows (ETW)—pour supprimer les alertes de sécurité systémiques.

3. RemotePE:Le RAT final s'exécute entièrement dans la RAM. Il accorde aux attaquants un contrôle opérationnel total, leur permettant de pinguer des serveurs, de gérer des processus et de manipuler des fichiers. Notamment, lors de l'exécution de commandes de suppression de fichiers, RemotePE écrase les données avec des octets constants sept fois avant la suppression—un schéma anti-forensique précédemment observé dans d'anciens kits d'outils Lazarus comme PondRAT et POOLRAT.

Le Coût Financier Sans Précédent sur la Crypto

Le succès opérationnel de cette architecture sans fichier se reflète dans des métriques financières impressionnantes.

Selon les données d'intelligence blockchain de TRM Labs, le groupe Lazarus a réussi à siphonner environ 577 millions de dollars en cryptomonnaie au cours des quatre premiers mois de 2026.

Cette étonnante somme représente 76 % de tous les vols de crypto-monnaie mondiaux enregistrés durant cette période, monopolisaant effectivement le marché de la cybercriminalité.

Ce n'est plus de l'espionnage industriel standard ; c'est une opération de revenue gérée par l'État et à grande échelle, conçue pour financer une économie sous sanctions. Depuis 2017, le syndicat a amassé environ 6 milliards de dollars enfonds numériques volés.

Le déploiement stratégique de RemotePE met en évidence un accent délibéré et continu sur le secteur financier, où les auteurs établissent une profonde persistance avant d'exécuter des drains de capitaux massifs et coordonnés.

Lisez aussi :
Les États-Unis sanctionnent la Corée du Nord pour vol de crypto-monnaies.

Implications pour la garde d'actifs numériques

La révélation que le groupe Lazarus a déployé des campagnes de trojan sans fichier à cette échelle nécessite une recalibration immédiate des postures de sécurité à travers l'écosystème fintech.

Parce que RemotePE évite la détection basée sur le disque, les organisations utilisant des examens de chaîne d'approvisionnement SaaS standard ou des solutions EDR conventionnelles restent gravement exposées.

Le paradigme de la défense doit rapidement pivoter vers l'analyse comportementale et la criminalistique en mémoire. Les fournisseurs de sécurité spécialisés dans la détection des menaces au niveau de la RAM sont désormais des partenaires essentiels pour les gardiens de cryptomonnaies, les échanges et les protocoles DeFi.

De plus, la formation à l'imitation d'employés concernant les plateformes de communication comme Telegram n'est plus une mesure d'hygiène optionnelle, c'est un contrôle de sécurité porteur.

Les ramifications financières s'étendront probablement au marché de l'assurance cybernétique. Les souscripteurs pourraient bientôt exiger la preuve de capacités défensives avancées basées sur la mémoire avant d'accorder une couverture aux gardiens d'actifs numériques, modifiant fondamentalement le coût de la sécurité à la base dans l'ère Web3.

Pour survivre à la dernière menace du groupe Lazarus, les institutions financières doivent moderniser leurs modèles de menace immédiatement. En 2026, supposer qu'un réseau est sécurisé simplement parce que ses disques sont propres est une vulnérabilité qu'aucune entreprise de cryptomonnaie ne peut se permettre d'exploiter.

Lisez aussi :Le vol de 3 millions de dollars en XRP : Voici l'histoire

FAQ

Quelle est la dernière menace du groupe Lazarus ?

La dernière menace du groupe Lazarus est RemotePE, un cheval de Troie d'accès à distance (RAT) hautement sophistiqué et "sans fichier" ou "en mémoire uniquement". Contrairement aux logiciels malveillants traditionnels, RemotePE s'exécute entièrement dans la RAM d'un système et n'écrit jamais de données sur le disque dur physique, ce qui lui permet de contourner facilement les logiciels antivirus standard et les systèmes de détection et de réponse des endpoints (EDR).

Comment le groupe Lazarus a-t-il déployé le cheval de Troie sans fichier ?

Le groupe Lazarus a déployé le trojan sans fichier en utilisant une combinaison d'ingénierie sociale et de faux liens de planification. Les attaquants se font passer pour des employés d'une société de trading sur Telegram et envoient aux cibles des liens malveillants déguisés en liens de réunion légitimes de Calendly ou Picktime. Une fois cliqués, un chargeur en trois étapes (commençant par DPAPILoader) injecte discrètement le malware directement dans la mémoire du système.

Qu'est-ce que le malware RemotePE et comment fonctionne-t-il ?

RemotePE est un cheval de Troie d'accès à distance résident en mémoire utilisé par des hackers sponsorisés par l'État nord-coréen. Il fonctionne en utilisant des techniques d'évasion avancées, telles que le patching de l'Event Tracing for Windows (ETW) pour supprimer les alertes de sécurité. Une fois actif dans la RAM, il donne aux attaquants un contrôle total sur le réseau compromis, leur permettant d'exécuter des commandes, de gérer des processus actifs et de voler des informations d'identification sensibles.

Combien de cryptomonnaie le groupe Lazarus a-t-il volée en 2026 ?

Selon des données d'intelligence blockchain de TRM Labs, le groupe Lazarus a volé environ 577 millions de dollars en cryptomonnaie durant les quatre premiers mois de 2026. Ce chiffre ahurissant représente environ 76 % de tous les vols de crypto-monnaies enregistrés à l'échelle mondiale durant cette période, portant le total estimé des gains du groupe depuis 2017 à plus de 6 milliards de dollars.

Comment les organisations peuvent-elles détecter des logiciels malveillants sans fichiers comme RemotePE ?

Parce que les logiciels malveillants sans fichier ne laissent aucune empreinte numérique sur le disque dur d'un ordinateur, les organisations ne peuvent pas se fier aux outils antivirus traditionnels de scan de disque. Se défendre contre RemotePE nécessite de mettre en œuvre des analyses avancées de la mémoire, la détection d'anomalies comportementales et des protocoles de sécurité stricts concernant les communications d'entreprise sur des applications de messagerie tiers telles que Telegram.

Avertissement : Les opinions exprimées appartiennent exclusivement à l'auteur et ne reflètent pas les vues de cette plateforme. Cette plateforme et ses affiliés déclinent toute responsabilité quant à l'exactitude ou à l'adéquation des informations fournies. Ceci est à des fins d'information uniquement et ne doit pas être considéré comme un conseil financier ou d'investissement.