Les chercheurs en sécurité remarquent l’apparition récente du malware infostealer REMUS dans les milieux cybercriminels. Des analyses techniques détaillent ses fonctions, son infrastructure et ses points communs avec Lumma Stealer, comme les mécanismes de vol de credentials dans les navigateurs.
Les experts de Flare étudient 128 publications liées à l’opération souterraine de REMUS entre le 12 février et le 8 mai 2026. Ces messages révèlent la présentation du groupe, le développement du malware et son déploiement dans les forums clandestins. Les annonces, journaux de mises à jour, nouveaux modules et échanges avec les clients montrent l’évolution de l’opération et ses priorités.
Les résultats mettent en évidence l’évolution rapide des capacités du stealer, avec un accent croissant sur la commercialisation, l’évolutivité, le vol de sessions et les gestionnaires de mots de passe. L’activité illustre comment les opérations MaaS modernes fonctionnent comme des entreprises logicielles structurées, avec des cycles de développement continus et des améliorations pour la persistance et la monétisation.
L’activité clandestine expose un cycle de développement intense sur quelques mois. L’opérateur publie des mises à jour de fonctions, des ajustements opérationnels et de nouvelles capacités de collecte. Les publications dépeignent une plateforme MaaS maintenue activement, qui évolue en temps quasi réel.
- Février 2026 lance la promotion commerciale. Les premiers messages insistent sur la fiabilité et la simplicité de REMUS pour le vol de credentials de navigateurs, la collecte de cookies, les tokens Discord, la livraison via Telegram et la gestion de logs. L’opérateur promet un taux de retour d’environ 90 % grâce à un cryptage efficace et un serveur intermédiaire. Il met en avant un support 24/7 et une utilisation accessible à tous.
- Mars 2026 marque la phase la plus intense. L’opérateur ajoute la restauration de tokens, une gestion étendue des logs, le suivi des workers, des pages de statistiques, un filtrage des doublons et des flux améliorés pour Telegram. Les mises à jour portent sur la visibilité opérationnelle, comme les surnoms des workers dans les tableaux et une meilleure détection des infections ratées.
- Avril 2026 cible la continuité des sessions et les artefacts d’authentification des navigateurs. L’opérateur intègre le support SOCKS5, une restauration de tokens perfectionnée, des options anti-machines virtuelles, le ciblage de plateformes de jeux et la collecte liée aux gestionnaires de mots de passe. Un message précise l’ajout de la collecte IndexedDB pour les extensions 1Password et LastPass. D’autres évoquent Bitwarden.
- Début mai 2026, l’opération se concentre sur les affinements et la stabilité. Les messages traitent d’améliorations de restauration, de corrections de bugs, d’optimisations de collecte et d’ajustements pour la livraison et la gestion.
Capture d’écran d’un des premiers posts de REMUS.
Les rapports publics soulignent les liens techniques de REMUS avec Lumma Stealer, comme les vérifications anti-VM, le vol de credentials orienté navigateurs et les contournements de chiffrement. Pourtant, les données clandestines révèlent une construction agressive d’un produit cybercriminel commercial. L’opérateur vante les mises à jour, le support client et les améliorations de performance, comme des cycles de développement légitimes.
Les infostealers tels que REMUS volent désormais des cookies, des tokens de navigateurs et des sessions authentifiées qui évitent l’authentification multifacteur.
Capture d’écran montrant la forte demande pour les « cookies ».
La campagne REMUS insiste sur le vol de sessions plutôt que sur les credentials isolés. Les mises à jour couvrent la collecte de cookies, la gestion de tokens, les sessions de navigateurs, la restauration via proxy et la continuité d’accès authentifié. Les attaquants préfèrent ces sessions qui contournent les alertes de connexion et les vérifications de risque.
Les améliorations de « restauration », la compatibilité proxy et le support de types multiples de proxy soulignent l’importance de la persistance des sessions. Les mises à jour visent aussi Discord, Steam, Riot Games et les environnements liés à Telegram.
En avril 2026, REMUS cible les gestionnaires de mots de passe comme Bitwarden, 1Password et LastPass, ainsi que le stockage IndexedDB des navigateurs. Ces outils concentrent credentials et données d’authentification précieuses.
L’activité clandestine de REMUS reflète la maturité des écosystèmes MaaS. L’opérateur diffuse des versions numérotées, des corrections, des extensions de fonctions et des améliorations de visibilité. Les références à des workers, tableaux de bord et catégorisation de logs indiquent une structure multi-opérateurs.