**Fox-IT**, une filiale de **NCC Group**, a détaillé **RemotePE** dans le cadre d'une attaque en plusieurs étapes impliquant deux chargeurs : **DPAPILoader** et **RemotePELoader**. ### Chaîne d'infection multi-étapes Le processus d'infection commence par **DPAPILoader** qui déchiffre et charge **RemotePELoader** depuis le disque, en utilisant l'**API de protection des données Windows (DPAPI)**. Selon les chercheurs Yun Zheng Hu et Mick Koomen, « **DPAPILoader** déchiffre et charge **RemotePELoader** depuis le disque en utilisant l'API de protection des données Windows ([DPAPI](https://learn.microsoft.com/en-us/dotnet/standard/security/how-to-use-data-protection)). **RemotePELoader** contacte un serveur C2 et attend de recevoir l'étape suivante : **RemotePE**, un RAT exécuté entièrement en mémoire et jamais écrit sur le disque, ne laissant aucun artefact sur le système de fichiers. » **RemotePE** a été initialement identifié en septembre 2025 lors d'une attaque contre une organisation de finance décentralisée (DeFi), entraînant le déploiement de **PondRAT**, **ThemeForestRAT**, et **RemotePE**. ### Compromission initiale et fonctionnalité du chargeur L'intrusion commence par de l'ingénierie sociale, où un attaquant, se faisant passer pour un employé d'une société de trading sur **Telegram**, compromet l'appareil d'un employé à l'aide de faux domaines **Calendly** et **Picktime**. La séquence d'infection de **RemotePE** comprend trois étapes, avec la DLL **DPAPILoader** (« Iassvc.dll ») déchiffrant et chargeant une charge utile chiffrée depuis le disque via **DPAPI**. L'artefact **DPAPILoader** le plus ancien remonte à novembre 2023. La charge utile déchiffrée, **RemotePELoader**, se connecte à un serveur distant (« aes-secure[.]net ») via HTTP pour récupérer le module principal. Avant l'exécution, il utilise des techniques d'évasion comme [Hell's Gate](https://redops.at/en/blog/exploring-hells-gate) et patch **Event Tracing for Windows (ETW)** pour éviter la détection.  ### Capacités du RAT RemotePE La dernière étape implique le cheval de Troie d'accès à distance **RemotePE**, écrit en C++, qui interroge un serveur de commande et de contrôle (C2) pour obtenir des instructions. Le malware prend en charge six catégories de commandes : * Obtenir ou modifier la configuration C2 * Gérer les répertoires et les modules DLL * Effectuer des opérations sur les fichiers * Gérer les processus * Contrôler l'exécution du malware (veille ou sortie) * Pinger le serveur Notamment, la commande de suppression de fichiers écrase les fichiers avec des octets constants sept fois avant de les renommer et de les supprimer, une tactique également observée dans **PondRAT** et **POOLRAT** (alias **SIMPLESEA**). **PondRAT** est considéré comme une version allégée de **POOLRAT**. ### Chronologie de développement et implications stratégiques **Fox-IT** a obtenu quatre échantillons de **RemotePE**, indiquant un développement actif entre mi-2023 et mi-2024, avec le plus ancien horodatage de compilation datant du 4 juillet 2023. Les chercheurs ont déclaré : « Le chiffrement environnemental de la boîte à outils, l'exécution en mémoire uniquement, l'évasion des EDR et la faible empreinte forensique suggèrent qu'elle est spécialement conçue pour des campagnes d'observation à long terme... Cela permet à l'acteur de maintenir discrètement l'accès sur une période prolongée avant de passer à un objectif final à fort impact tel que le vol de données ou un détournement financier à grande échelle, ce qui correspond à l'historique connu de cet acteur. » Ils ont ajouté : « Le modèle de livraison avec l'acteur en boucle et le faible taux de détection de la boîte à outils (ni **RemotePELoader** ni **RemotePE** n'apparaissaient sur **VirusTotal** avant cette publication) suggèrent que cette boîte à outils peut être réservée aux cibles de grande valeur où un accès furtif à long terme est l'objectif, ce qui correspond à l'orientation connue de ce sous-groupe de **Lazarus** sur les organisations financières et de cryptomonnaies. »