TechFlow rapporte que, le 26 mai, selon Cryptopolitan, le groupe de pirates informatiques Lazarus Group, lié à la Corée du Nord, a déployé un cheval de Troie d’accès à distance sans fichier appelé RemotePE, ciblant principalement les banques, les plateformes d’échange de cryptomonnaies et les entreprises de technologie financière. Ce logiciel malveillant s’exécute entièrement en mémoire, combinant le « process hollowing », des techniques de détection anti-analyse et des communications chiffrées avec le serveur de commande et de contrôle (C2), ce qui rend sa détection particulièrement difficile pour les outils antivirus et d’analyse forensique traditionnels.
Le rapport précise que les attaques sont généralement menées via des campagnes d’ingénierie sociale sur Telegram : les attaquants se font passer pour des employés de sociétés de trading et incitent les victimes à installer un programme malveillant à l’aide de sites Calendly et Picktime falsifiés, permettant ainsi l’exécution de la charge utile sans aucune interaction avec le système de fichiers.
