🔍 Contexte

L’article est publié le 2 juillet 2026 par la Flashpoint Intel Team sur le blog de Flashpoint. Il analyse l’émergence de Remus Stealer, un nouvel infostealer commercialisé sur des marchés cybercriminels souterrains depuis mars 2026, et examine ses similitudes avec le malware Lumma.

🧩 Description de Remus Stealer

Remus est proposé selon un modèle Malware-as-a-Service (MaaS) à trois niveaux tarifaires :

  • Basic : 250 USD
  • Pro : 500 USD
  • Enterprise : 1 000 USD

Il intègre des fonctionnalités classiques des infostealers modernes, notamment :

  • Restauration de cookies OAuth Google
  • Intégration Telegram pour la réception des logs
  • Un panneau d’administration avec publicités pour d’autres services illicites (packers, log clouds)

🔬 Similitudes techniques avec Lumma

Flashpoint identifie de nombreux recoupements entre Remus et Lumma :

  • Panneaux d’administration aux interfaces et fonctionnalités quasi identiques
  • Structure des répertoires de logs similaire, avec identifiants uniques
  • Vérification de l’état d’emballage (pack check) avant l’exécution principale, avec envoi d’un message d’avertissement — comportement initié par Lumma
  • Obfuscation de chaînes identique : encodage unique par chaîne, décodage octet par octet à l’exécution, avec au moins une instruction NOP entre le blob encodé et la boucle de déobfuscation
  • Identifiant de build : Lumma utilisait un « LID » (Lumma ID), Remus utilise un « tag » remplissant la même fonction d’attribution
  • Obfuscation du flux de contrôle similaire : sauts indirects lus depuis des offsets sur la pile, tables de sauts, pointeurs résolus

Différence notable : Remus est un binaire 64 bits, contre 32 bits pour Lumma.

📡 Différenciateurs : infrastructure C2

La principale différence réside dans le mécanisme de beaconing C2 :

  • Remus tente de résoudre plusieurs combinaisons domaine:port via des requêtes POST
  • En dernier recours, il utilise EtherHiding pour localiser son serveur C2
  • Si aucune connexion n’est établie, le malware s’arrête
  • Après connexion, il reçoit un token d’accès pour obtenir une configuration chiffrée
  • Les données collectées sont exfiltrées sous forme de données POST chiffrées

📌 Type d’article

Il s’agit d’une analyse technique publiée par une équipe de threat intelligence, visant à documenter les caractéristiques de Remus Stealer, établir sa filiation avec Lumma et informer les équipes de sécurité de son existence et de ses capacités.

🧠 TTPs et IOCs détectés

TTP

  • T1555 — Credentials from Password Stores (Credential Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1102 — Web Service (Command and Control)
  • T1486 — Data Encrypted for Impact (Impact)

Malware / Outils

  • Remus Stealer (stealer)
  • Lumma (stealer)

🟡 Indice de vérification factuelle : 40/100 (moyenne)

  • ⬜ flashpoint.io — source non référencée (0pts)
  • ✅ 7892 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://flashpoint.io/blog/remus-stealer-a-new-not-so-new-infostealer/