Am 7. April 2026 veröffentlichte Gen Threat Labs, die Forschungsabteilung von Gen Digital, eine detaillierte technische Analyse von Remus, einem neuen 64-Bit-Infostealer, der der Lumma-Stealer-Familie zugeschrieben wird. Aktive Kampagnen mit Remus wurden seit Februar 2026 beobachtet — unmittelbar nach einer Doxxing-Kampagne zwischen August und Oktober 2025, die die mutmaßlichen Kernmitglieder der Lumma-Organisation entblößte und deren Betrieb erheblich störte. Remus ist kein Ersatz für Lumma — beide Familien koexistieren derzeit in freier Wildbahn — sondern eine bewusste Evolution, die höchstwahrscheinlich aus einem Fork oder einer Rebranding-Operation hervorgegangen ist, die während der Phase maximalen externen Drucks auf die ursprüngliche Gruppe eingeleitet wurde.
Der von Gen Threat Labs aufgebaute Attributionsfall stützt sich auf sechs technische Indikatoren, die eine Codebasis-Kontinuität belegen. Der markanteste ist der Application-Bound-Encryption-Bypass für Chromium-Browser: Sowohl Lumma als auch Remus injizieren einen kompakten Shellcode in den Browserprozess, um den v20_master_key direkt im Speicher zu lokalisieren und CryptUnprotectMemory aus dem Prozesskontext des Browsers heraus aufzurufen. Der Unterschied zwischen beiden Implementierungen beträgt elf Bytes — 51 Bytes bei Remus gegenüber 62 bei Lumma. Dieses Niveau an Implementierungsparallelismus ist nicht zufällig. Weitere gemeinsame Indikatoren umfassen nahezu identische String-Verschleierung über Stack-Assembly und MBA-verstärkte Entschlüsselungsschleifen, direkten Syscall-Dispatch über Laufzeit-ntdll-Hash-zu-SSN-Lookup-Tabellen, identische AntiVM-CPUID-Prüfungen gegen fünf Hypervisor-Signaturen in gleicher Reihenfolge, eine gemeinsame Crypter-Präsenzprüfung über NtRaiseHardError sowie überlappende Kontrollfluss-Verschleierungsmuster. Die Attributionskette wird durch Übergangsbuild-Sets namens Tenzor verankert, kompiliert am 16. September 2025 — auf dem Höhepunkt der Störungsperiode — die sowohl einen Steam-Dead-Drop-Resolver aus bestätigten Lumma-Samples als auch Artefakte enthalten, die ausschließlich Remus zuzuordnen sind.
Die operativ bedeutsamste Evolution in Remus ist die Aufgabe von Steam- und Telegram-Dead-Drop-Resolvern zugunsten von EtherHiding. Zur Laufzeit sendet Remus eine JSON-RPC-eth_call-Anfrage an eine hartkodierte Ethereum-Smart-Contract-Adresse über einen öffentlichen RPC-Endpunkt und extrahiert die C2-URL aus der hex-kodierten Antwort. Die dezentralisierte und unveränderliche Natur der Blockchain macht diese Infrastruktur effektiv resistent gegen traditionelle Takedown-Verfahren. Remus führt zusätzlich zwei Anti-Analyse-Prüfungen vor jedem C2-Verbindungsversuch ein: Sandbox-DLL-Erkennung über CRC32-Hashing geladener Modulnamen gegen elf bekannte Sandbox-DLL-Hashes sowie Honeypot-PST-Erkennung über die Enumeration eines spezifischen Outlook-PST-Dateinamens. Schlägt eine der Prüfungen an, terminiert die Binärdatei lautlos über ExitProcess null.
Zur Erkennung: Überwachung auf JSON-RPC-eth_call-Anfragen an öffentliche Ethereum-Endpunkte, die von Workstations ausgehen — anomales Verhalten mit einer sehr geringen Falschpositivrate. Überwachung auf versteckte Desktop-Erstellung über CreateDesktopW kombiniert mit Browser-Prozessstart. Einsatz der von SOCPrime veröffentlichten Remus-spezifischen Erkennungsregeln für direkten Syscall-Einsatz, API-Hashing und Stealth-Ausführungsartefakte. Jede Organisation, die Steam- oder Telegram-Dead-Drop-Blocking als Lumma-Erkennungssignal verwendet hat, sollte diese Kontrollmaßnahme als veraltet betrachten.
Quellen
- Gen Digital – Remus: Unmasking the 64-bit variant of the infamous Lumma Stealer : https://www.gendigital.com/blog/insights/research/remus-64bit-variant-of-lumma-stealer
- GBHackers – Remus infostealer debuts with stealthy new credential-theft tactics : https://gbhackers.com/remus-infostealer-debuts/
- CyberPress – Remus infostealer emerges with credential theft and advanced evasion tricks : https://cyberpress.org/remus-infostealer-emerges-fast/
Nicht nachdenken, patchen!
Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website:https://www.radiocsirt.com/de
Wöchentlicher Newsletter:https://radiocsirtgermanedition.substack.com/