TRM Labsによると、ラザラスグループに関連する窃取額は2026年最初の4カ月で約$577 millionに達した。同グループは、メモリ内でのみ動作するRemotePEマルウェアと、Telegramを使ったおとりを銀行や仮想通貨企業に対して用いたとされる。
サイバーセキュリティーのアナリストによると、北朝鮮との関係があるとみられるサイバー犯罪グループ、ラザラスグループは、RemotePEと呼ばれるファイルレス型のリモートアクセス型トロイの木馬を使用し、偽のCalendlyおよびPicktimeリンクを用いたTelegramベースのソーシャルエンジニアリングを通じて、銀行や仮想通貨企業を標的にしている。このマルウェアは完全にメモリ内で動作するため、フォレンジック証拠を限定し、検知の回避を容易にする。報告されたキャンペーンでは、同グループはDPAPILoader、Iassvc.dllとして知られる動的リンクライブラリファイル、そしてRemotePELoaderを含む3段階の感染チェーンを使用し、最終的なRemotePEペイロードをメモリ内にロードした。TRM Labsによると、ラザラスグループに関連する窃取額は2026年最初の4カ月で約$577 millionに達し、この期間の世界の仮想通貨窃取全体の76%を占めた。同じ報告書によると、北朝鮮に関連するアクターは2017年以降の累計で$6 billionを盗み出している。