O nouă variantă de troian de acces de tip fileless, denumită RemotePE, a fost identificată de analiștii de cibersecuritate, conform ChainCatcher. Se pare că malware-ul este folosit de grupul de criminalitate cibernetică legat de Coreea de Nord, Grupul Lazarus, pentru a ataca bănci și companii de criptomonede. RemotePE funcționează complet în memorie, ceea ce îl face greu de detectat de instrumentele tradiționale antivirus și de analiză. Atacatorii se dau drept angajați ai unor companii de trading pe Telegram, folosind linkuri false de Calendly și Picktime pentru atacuri de inginerie socială. Malware-ul este desfășurat în trei etape—DPAPILoader, RemotePELoader și RemotePE—fără a atinge sistemul de fișiere, folosind hollowing de proces, verificări anti-analiză și comunicații C2 criptate pentru a evita detectarea.

Malware-ul a fost descoperit prima dată în septembrie 2025. În primele patru luni din 2026, Grupul Lazarus a furat aproximativ 577 milioane de dolari în active cripto, reprezentând 76% din totalul global al furturilor de cripto. Din 2017, grupul a acumulat un total de 6 miliarde de dolari în fonduri furate.