REMUS es un nuevo malware infostealer que opera como un servicio (MaaS) con un modelo de negocio similar al de una empresa de software, ofreciendo actualizaciones constantes y soporte técnico. A diferencia de otros, se enfoca en el robo de sesiones y cookies para evadir la autenticación de doble factor (MFA), además de atacar gestores de contraseñas. Su evolución demuestra una tendencia en el cibercrimen hacia la profesionalización y la búsqueda de acceso persistente a cuentas ya autenticadas.



En los últimos meses, ha surgido en el panorama del cibercrimen un nuevo malware infostealer infostealer conocido como REMUS, captando la atención de investigadores de seguridad y analistas de malware. Varios análisis técnicos publicados recientemente se han centrado en las capacidades del malware, su infraestructura y sus similitudes con Lumma Stealer, incluyendo los mecanismos de focalización del navegador, la funcionalidad de robo de credenciales y más.

Sin embargo, se ha prestado mucha menos atención a la operación clandestina detrás del propio malware.

Un análisis realizado por investigadores de Flare Flare sobre 128 publicaciones vinculadas a la operación clandestina de REMUS entre el 12 de febrero y el 8 de mayo de 2026, ofrece una mirada poco común a cómo el grupo presenta, desarrolla y pone en funcionamiento el malware dentro de las comunidades underground. Al analizar los anuncios del actor, los registros de actualizaciones, los anuncios de funciones, las discusiones operativas y las comunicaciones con los clientes, la investigación ayuda a mapear cómo evolucionó la operación con el tiempo y qué prioridades impulsaron su desarrollo.

Los hallazgos revelan no solo la rápida evolución de las capacidades del stealer, sino también un enfoque creciente en la comercialización, la escalabilidad operativa, el robo de sesiones y el objetivo de los gestores de contraseñas. En términos más amplios, la actividad ofrece una visión de cómo las operaciones modernas de malware como servicio (MaaS) se parecen cada vez más a empresas de software estructuradas, con ciclos de desarrollo continuos, refinamientos operativos y características diseñadas para mejorar la usabilidad, la persistencia y la monetización a largo plazo.

la actividad clandestina revela un ciclo de desarrollo agresivo

La actividad clandestina revela un ciclo de desarrollo altamente comprimido pero agresivo, donde el operador publicó repetidamente actualizaciones de funciones, refinamientos operativos y nuevas capacidades de recolección en solo unos pocos meses.

En lugar de anunciar una versión estática del malware, las publicaciones retratan una plataforma MaaS mantenida activamente que evoluciona casi en tiempo real.

* Febrero de 2026 marcó el impulso comercial inicial. Las primeras publicaciones se centraron en establecer a REMUS como un stealer fiable y fácil de usar, promoviendo el robo de credenciales del navegador, la recolección de cookies, el robo de tokens de Discord, la entrega a través de Telegram y la gestión básica de registros. El tono era altamente promocional y orientado al cliente. En una de las primeras publicaciones, el operador afirmó: “Con un buen cifrado y un servidor intermediario dedicado, la tasa de respuesta es de ~90%”.

Otra publicación comercializó el malware destacando un “soporte 24/7” y una funcionalidad “lo suficientemente simple como para que incluso un niño pueda entenderla”, subrayando un fuerte énfasis en la usabilidad y la comercialización desde el principio.

* Marzo de 2026 representó el período de desarrollo más activo de la campaña. Durante esta fase, el operador introdujo la funcionalidad de restauración de tokens, amplió el manejo de registros, el seguimiento de trabajadores, páginas de estadísticas, filtrado de registros duplicados y flujos de trabajo de entrega de Telegram mejorados. Múltiples publicaciones no se centraron en el robo en sí, sino en la visibilidad operativa y la gestión de la campaña. Una actualización añadió apodos de trabajadores a las tablas de registros y vistas de estadísticas, mientras que otra mejoró la visibilidad de la ejecución del cargador para que los operadores pudieran comprender mejor las infecciones fallidas. El cambio sugiere que REMUS estaba evolucionando hacia una plataforma operativa más amplia en lugar de ser solo un ejecutable de malware.

* Abril de 2026 mostró un movimiento claro hacia la continuidad de la sesión y los artefactos de autenticación del lado del navegador. El operador añadió soporte para proxy SOCKS5, mejoró la restauración de tokens, interruptores anti-VM, focalización en plataformas de juegos y recolección relacionada con gestores de contraseñas. Una actualización declaró explícitamente: “Añadida recolección de IndexedDB para extensiones de 1Password y LastPass”.

Otra hizo referencia a búsquedas relacionadas con Bitwarden. Las publicaciones enfatizaron cada vez más las sesiones autenticadas, los flujos de restauración y el almacenamiento del lado del navegador en lugar de solo las credenciales independientes.

* Para principios de mayo de 2026, la operación parecía centrada en el refinamiento y la estabilidad operativa. Las publicaciones restantes en el conjunto de datos hacían referencia a mejoras de restauración, correcciones de errores, optimizaciones de recolección y ajustes continuos en la funcionalidad de entrega y gestión, sugiriendo que el operador estaba pasando de una expansión rápida de funciones hacia la estabilización de la plataforma.

Remus y su conexión con Lumma

Captura de pantalla de la plataforma de Flare Flare que muestra una de las primeras publicaciones de REMUS.

Los informes públicos informes públicos se han centrado en gran medida en REMUS como un sucesor o variante técnicamente significativa de Lumma Stealer. Los investigadores describieron el malware como un infostealer de 64 bits que comparte múltiples similitudes con Lumma, incluyendo comprobaciones anti-VM, robo de credenciales centrado en el navegador y técnicas de elusión del cifrado del navegador.

Ese solapamiento técnico es importante, pero los datos clandestinos sugieren que la historia va mucho más allá del linaje del malware.

Las publicaciones analizadas muestran a un actor de amenazas construyendo agresivamente un producto de cibercrimen comercial basado en el malware. La operación promovió repetidamente actualizaciones, soporte al cliente, mejoras de rendimiento y capacidades de recolección adicionales de una manera que se asemeja fuertemente a los ciclos de desarrollo de software legítimos.

En una publicación temprana, el operador afirmó que el malware podía lograr tasas de entrega exitosas de aproximadamente el “90%” cuando se combinaba con un cifrado adecuado y un servidor intermediario, un lenguaje claramente dirigido a tranquilizar a los compradores potenciales sobre la fiabilidad operativa.

Las sesiones robadas son las nuevas contraseñas robadas

Los infostealers como REMUS ya no solo recolectan credenciales, capturan cookies, tokens de navegador y sesiones autenticadas que eluden completamente el MFA.

Flare monitorea continuamente millones de registros de stealers en mercados de la dark web y canales de Telegram, para que puedas detectar sesiones y credenciales expuestas antes de que los atacantes las usen contra ti.

Un cambio hacia el robo de sesiones y el valor creciente de las cookies

Captura de pantalla de la plataforma de Flare Flare que muestra un ejemplo de la alta demanda de “cookies”.

Uno de los temas más claros en toda la campaña de REMUS es el énfasis creciente en el robo de sesiones en lugar de la recolección tradicional de credenciales por sí sola. Históricamente, muchos infostealers se centraban principalmente en nombres de usuario y contraseñas.

REMUS, sin embargo, enfatizó repetidamente la recolección de cookies, el manejo de tokens, las sesiones de navegador, la restauración asistida por proxy y la continuidad del acceso autenticado. Desde las etapas iniciales de la campaña, el malware promovió las sesiones del navegador y los artefactos de autenticación como una parte central de su valor.

Esto refleja un cambio más amplio en la economía clandestina, donde las cookies robadas y las sesiones autenticadas se han convertido en una mercancía sumamente valiosa. En lugar de robar credenciales e intentar iniciar sesión más tarde, los atacantes buscan cada vez más sesiones ya autenticadas que pueden evadir los avisos de MFA, las alertas de inicio de sesión, la verificación de dispositivos y los sistemas de autenticación basados en riesgos.

Múltiples actualizaciones de REMUS hicieron referencia a mejoras de “Restauración”, compatibilidad con proxies y soporte para múltiples tipos de proxies durante los flujos de trabajo de restauración de tokens, sugiriendo fuertemente que el operador veía la persistencia de la sesión como un principal punto de venta.

Varias actualizaciones también se centraron en plataformas donde las sesiones activas tienen un valor sustancial, incluyendo Discord, Steam, Riot Games y entornos vinculados a Telegram. Combinada con la recolección de cookies y la funcionalidad de restauración, la campaña parecía estar diseñada no solo para robar credenciales, sino para preservar y operacionalizar el acceso autenticado mismo.

los gestores de contraseñas se convierten en objetivos de alto valor

La evolución más significativa de la etapa final observada en la campaña implicó la recolección relacionada con los gestores de contraseñas. Para abril de 2026, el operador anunciaba soporte vinculado a Bitwarden, 1Password, LastPass y el almacenamiento IndexedDB del navegador. Los gestores de contraseñas representan cada vez más depósitos concentrados de credenciales valiosas y material de autenticación.

Las referencias a IndexedDB son especialmente relevantes porque las aplicaciones y extensiones modernas de los navegadores utilizan frecuentemente mecanismos de almacenamiento local del navegador para retener datos de la aplicación e información de la sesión. Las publicaciones no prueban por sí solas el descifrado exitoso de la bóveda o el compromiso directo del gestor de contraseñas.

Sin embargo, demuestran claramente que el desarrollo de REMUS se movía hacia la recolección de almacenamiento del lado del navegador asociado con los ecosistemas de gestión de contraseñas.

la madurez operativa detrás de remus

La actividad clandestina también demuestra cómo los ecosistemas MaaS modernos se parecen cada vez más a las empresas de software legítimas.

A través de las publicaciones analizadas, el operador publicó repetidamente actualizaciones versionadas, correcciones de errores, expansiones de funciones, mejoras en la resolución de problemas, mejoras en las estadísticas y refinamientos de la visibilidad operativa.

Varias publicaciones también implicaron un entorno de múltiples operadores mediante referencias a trabajadores, paneles de estadísticas, visibilidad de gestión, monitoreo de cargadores y categorización de registros. Esta estructura operativa se alinea estrechamente con las tendencias MaaS más amplias, donde los desarrolladores de malware separan cada vez más el desarrollo, la infraestructura, la entrega y la monetización en roles especializados.

reflexiones finales

La campaña de REMUS ofrece una mirada reveladora de cómo las operaciones de infostealers modernos están evolucionando mucho más allá del simple robo de credenciales.

En solo unos pocos meses, la actividad clandestina analizada por los analistas de Flare mostró una transición clara desde la promoción básica de malware hacia el desarrollo de un ecosistema MaaS estructurado centrado en la fiabilidad operativa, la persistencia de la sesión y la recolección de datos escalable.

Quizás lo más notable es que la campaña destacó la creciente importancia de las sesiones autenticadas y los artefactos de autenticación del lado del navegador dentro de la economía clandestina. El énfasis repetido en la restauración de tokens, la recuperación de sesiones asistida por proxy y la recolección relacionada con gestores de contraseñas refleja un cambio más amplio en las operaciones de cibercrimen, alejándose del simple robo de contraseñas y moviéndose hacia el mantenimiento del acceso directo a entornos ya autenticados.

Los hallazgos refuerzan una realidad cada vez más importante: los infostealers están evolucionando rápidamente hacia plataformas operativas maduras que soportan la persistencia, la automatización y los flujos de monetización a largo plazo. A medida que estos ecosistemas continúen profesionalizándose, comprender cómo los actores de amenazas operacionalizan y comercializan el malware puede volverse tan importante como analizar el malware en sí.

Fuente:
BleepingComputer