Netcrook Logo
👤 TRUSTBREAKER
🗓️ 08 Apr 2026  

Desde las cenizas de Lumma: Remus Infostealer desata robos de credenciales más inteligentes y sigilosos

Un nuevo y astuto malware hereda los trucos de Lumma - y los mejora para la era moderna del cibercrimen.

Justo cuando los defensores pensaban que el infame Lumma Stealer había sido erradicado, ha surgido un nuevo espectro: Remus Infostealer. Este malware, detectado por primera vez a inicios de 2026, no es solo un imitador. Es una evolución calculada, que combina las tácticas probadas de robo de credenciales de Lumma con una infraestructura innovadora, difícil de erradicar, y formidables medidas anti-análisis. ¿El resultado? Una amenaza que ya está superando a las defensas tradicionales y poniendo nuevamente las credenciales sensibles en la mira.

Datos clave

  • Remus es un ladrón de información de 64 bits, sucesor del infame Lumma Stealer tras las operaciones policiales en su contra.
  • Apunta a contraseñas de navegadores, cookies, datos de autocompletado y monederos de criptomonedas mediante técnicas sofisticadas de extracción.
  • Remus emplea contratos inteligentes de Ethereum para un comando y control (C2) resiliente, haciendo casi imposibles los intentos de desmantelamiento.
  • Evasión avanzada: Remus detecta sandboxes, herramientas de seguridad y entornos virtualizados, cerrándose antes de que pueda comenzar el análisis.
  • Su base de código y raras técnicas de descifrado reflejan de cerca a Lumma, pero Remus introduce una infraestructura más inteligente y lógica anti-análisis mejorada.

El nuevo rostro del robo de credenciales

Los ingenieros de reversa no tardaron en conectar a Remus con su predecesor. El ADN del malware es inconfundible: tanto Remus como Lumma comparten peculiaridades únicas de codificación, como cifrado de cadenas basado en pila, ofuscación estilo MBA y un enfoque poco común para evadir la Encriptación Vinculada a la Aplicación (ABE) en navegadores Chromium. En resumen, Remus no solo toma prestado de Lumma - está construido directamente sobre su legado.

Sin embargo, donde Remus realmente innova es en su infraestructura y sigilo. Las variantes anteriores de Lumma dependían de direcciones C2 “dead drop” ocultas en perfiles de Steam o canales de Telegram. Remus reemplaza esto con “EtherHiding” - incrustando instrucciones C2 en contratos inteligentes de Ethereum inmutables. Esto hace que su infraestructura sea prácticamente invulnerable a intentos de desmantelamiento, ya que los datos de los contratos inteligentes son descentralizados y permanentes.

El malware también refuerza sus defensas contra el análisis. Calcula hashes personalizados de los módulos cargados, terminando instantáneamente si detecta DLLs populares de sandboxes o herramientas de seguridad. Otros trucos, como buscar archivos de Outlook característicos o consultar funciones de la CPU en busca de señales de virtualización, ayudan a Remus a eludir sandboxes automatizados que antes atrapaban a Lumma. Incluso sus mejoras técnicas son sigilosas: Remus se ejecuta de forma nativa como una carga útil de 64 bits, esquivando herramientas de detección antiguas diseñadas para código de 32 bits.

La característica más peligrosa de Remus puede ser su evasión de ABE. Al inyectar shellcode directamente en la memoria del navegador, puede extraer claves maestras cifradas sin alertar a las herramientas de monitoreo de seguridad - una técnica vista previamente solo en las versiones más avanzadas de Lumma. Sus estrategias de respaldo, incluyendo la suplantación de tokens SYSTEM, aseguran que aún pueda robar credenciales incluso si su primer método falla.

Lo que los defensores deben saber

Para los equipos de seguridad, el auge de Remus marca una nueva era de sofisticación en los infostealers. Opciones prácticas de detección - como monitorear tráfico inusual de Ethereum RPC “eth_call” o rastrear el uso sospechoso de CryptUnprotectMemory - pueden ofrecer algo de esperanza. Pero, dado el profundo arraigo de Remus en Lumma y su evolución agresiva, las organizaciones deben actuar ya: actualizar reglas de detección, reforzar el sandboxing y prepararse para un stealer decidido a mantenerse siempre un paso adelante.

En la guerra continua por las credenciales digitales, Remus es un escalofriante recordatorio de que la innovación cibercriminal nunca duerme - y los defensores tampoco pueden hacerlo.

WIKICROOK

  • Infostealer: Un infostealer es un malware diseñado para robar datos sensibles - como contraseñas, tarjetas de crédito o documentos - de computadoras infectadas sin que el usuario lo sepa.
  • Comando: Un comando es una instrucción enviada a un dispositivo o software, a menudo por un servidor C2, que le indica realizar acciones específicas, a veces con fines maliciosos.
  • Aplicación: Una aplicación es un software diseñado para tareas específicas. En ciberseguridad, proteger las aplicaciones es vital para evitar ataques que exploten vulnerabilidades del software.
  • Shellcode: El shellcode es un pequeño programa inyectado por atacantes para ejecutar comandos o descargar más malware, utilizado frecuentemente para explotar vulnerabilidades en sistemas.
  • Sandbox: Un sandbox es un entorno seguro y aislado donde los expertos analizan archivos o programas sospechosos sin poner en riesgo sistemas o datos reales.
Remus Infostealer Credential Theft Cybersecurity
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news