PANews는 5월 26일, 크립토폴리탄(Cryptopolitan)을 인용하여 사이버 보안 분석가들이 RemotePE라는 새로운 파일리스 원격 접속 트로이목마(RAT)를 발견했다고 보도했습니다. 북한과 연계된 것으로 추정되는 사이버 범죄 조직인 라자루스 그룹(Lazarus Group)이 이 트로이목마를 이용해 은행과 암호화폐 기업을 공격하고 있는 것으로 알려졌습니다. 이 트로이목마는 메모리에서만 실행되기 때문에 기존의 안티바이러스 및 포렌식 도구로는 탐지하기 어렵습니다. 공격자들은 텔레그램을 통해 거래 회사의 직원을 사칭하고, 가짜 캘렌들리(Calendly) 및 픽타임(Picktime) 링크를 사용하여 소셜 엔지니어링 공격을 감행합니다. 이 악성코드는 파일 시스템에 접근하지 않고 DPAPILoader, RemotePELoader, RemotePE의 세 단계를 거쳐 실행됩니다. 프로세스 하이재킹, 안티 분석 검사, 암호화된 C2 통신을 이용하여 탐지를 회피합니다. 이 악성코드는 2025년 9월에 처음 발견되었습니다.

2026년 첫 4개월 동안 라자루스 그룹은 약 5억 7,700만 달러 상당의 암호화폐 자산을 훔쳤으며, 이는 전 세계 암호화폐 절도 총액의 76%에 해당합니다. 2017년 이후 이 그룹은 총 60억 달러를 훔쳤습니다.