Netcrook Logo
👤 TRUSTBREAKER
🗓️ 08 Apr 2026  

Des cendres de Lumma : Remus Infostealer lance des vols d’identifiants plus intelligents et furtifs

Un nouveau malware rusé hérite des astuces de Lumma - puis les améliore pour l’ère moderne de la cybercriminalité.

Alors que les défenseurs pensaient avoir relégué le tristement célèbre Lumma Stealer dans l’ombre, un nouveau spectre est apparu : Remus Infostealer. Ce malware inédit, détecté pour la première fois début 2026, n’est pas un simple imitateur. Il s’agit d’une évolution calculée, mêlant les tactiques éprouvées de vol d’identifiants de Lumma à une infrastructure inventive, difficile à éradiquer, et à des mesures anti-analyse redoutables. Le résultat ? Une menace qui déjoue déjà les défenses traditionnelles et remet les identifiants sensibles dans la ligne de mire.

En bref

  • Remus est un voleur d’informations 64 bits, succédant au tristement célèbre Lumma Stealer après les opérations des forces de l’ordre.
  • Il cible les mots de passe des navigateurs, cookies, données de saisie automatique et portefeuilles de cryptomonnaies grâce à des techniques d’extraction sophistiquées.
  • Remus utilise des smart contracts Ethereum pour un command-and-control (C2) résilient, rendant les tentatives de neutralisation quasi impossibles.
  • Évasion avancée : Remus détecte les sandboxes, outils de sécurité et environnements virtualisés, et s’arrête avant que l’analyse ne commence.
  • Son code et ses rares astuces de déchiffrement rappellent fortement Lumma, mais Remus introduit une infrastructure et une logique anti-analyse plus intelligentes.

Le nouveau visage du vol d’identifiants

Les ingénieurs en rétro-ingénierie n’ont pas mis longtemps à relier Remus à son prédécesseur. L’ADN du malware est indéniable : Remus et Lumma partagent des particularités de codage uniques, comme le chiffrement de chaînes basé sur la pile, l’obfuscation façon MBA, et une méthode rare pour contourner le chiffrement lié à l’application (ABE) dans les navigateurs Chromium. En résumé, Remus ne se contente pas d’emprunter à Lumma - il est directement bâti sur son héritage.

Là où Remus innove vraiment, c’est dans son infrastructure et sa furtivité. Les variantes précédentes de Lumma s’appuyaient sur des adresses C2 “dead drop” cachées dans des profils Steam ou des canaux Telegram. Remus remplace cela par “EtherHiding” - en intégrant les instructions C2 dans des smart contracts Ethereum immuables. Cela rend son infrastructure pratiquement invulnérable aux tentatives de neutralisation, puisque les données des smart contracts sont décentralisées et permanentes.

Le malware renforce aussi sa défense contre l’analyse. Il calcule des empreintes personnalisées des modules chargés et s’arrête instantanément s’il détecte des DLL de sandbox ou de sécurité populaires. D’autres astuces, comme la recherche d’archives Outlook révélatrices ou l’interrogation des caractéristiques CPU pour détecter la virtualisation, permettent à Remus d’échapper aux sandboxes automatisées qui piégeaient autrefois Lumma. Même ses améliorations techniques sont furtives : Remus s’exécute nativement en 64 bits, contournant les outils de détection plus anciens conçus pour du code 32 bits.

La fonctionnalité la plus dangereuse de Remus pourrait bien être son contournement de l’ABE. En injectant du shellcode directement dans la mémoire du navigateur, il peut extraire les clés maîtresses chiffrées sans alerter les outils de surveillance de sécurité - une technique auparavant réservée aux versions les plus avancées de Lumma. Les stratégies de repli du malware, comme l’usurpation de jetons SYSTEM, lui permettent de voler des identifiants même si sa première méthode échoue.

Ce que les défenseurs doivent savoir

Pour les équipes de sécurité, l’essor de Remus marque une nouvelle ère de sophistication des infostealers. Des options de détection pratiques - comme la surveillance d’un trafic Ethereum RPC “eth_call” inhabituel ou le suivi d’un usage suspect de CryptUnprotectMemory - peuvent offrir un peu d’espoir. Mais compte tenu des racines profondes de Remus dans Lumma et de son évolution agressive, les organisations doivent agir dès maintenant : mettre à jour les règles de détection, renforcer les sandboxes et se préparer à affronter un stealer déterminé à garder une longueur d’avance.

Dans la guerre permanente pour les identifiants numériques, Remus rappelle froidement que l’innovation cybercriminelle ne dort jamais - et que les défenseurs ne le peuvent pas non plus.

WIKICROOK

  • Infostealer : Un infostealer est un malware conçu pour voler des données sensibles - comme des mots de passe, cartes bancaires ou documents - sur des ordinateurs infectés à l’insu de l’utilisateur.
  • Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’exécuter des actions spécifiques, parfois à des fins malveillantes.
  • Application : Une application est un logiciel conçu pour des tâches spécifiques. En cybersécurité, sécuriser les applications est essentiel pour prévenir les attaques exploitant des vulnérabilités logicielles.
  • Shellcode : Le shellcode est un petit programme injecté par des attaquants pour exécuter des commandes ou télécharger d’autres malwares, souvent utilisé pour exploiter des vulnérabilités système.
  • Sandbox : Une sandbox est un environnement sécurisé et isolé où les experts analysent en toute sécurité des fichiers ou programmes suspects sans mettre en danger les systèmes ou données réels.
Remus Infostealer Credential Theft Cybersecurity
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news