RadioCSIRT Deutsche Ausgabe – Remus infostealer fork LummaStealer (Ep.75)

Am 7. April 2026 veröffentlichte Gen Threat Labs, die
Forschungsabteilung von Gen Digital, eine detaillierte technische
Analyse von Remus, einem neuen 64-Bit-Infostealer, der der
Lumma-Stealer-Familie zugeschrieben wird. Aktive Kampagnen mit
Remus wurden seit Februar 2026 beobachtet — unmittelbar nach
einer Doxxing-Kampagne zwischen August und Oktober 2025, die die
mutmaßlichen Kernmitglieder der Lumma-Organisation entblößte und
deren Betrieb erheblich störte. Remus ist kein Ersatz für Lumma —
beide Familien koexistieren derzeit in freier Wildbahn — sondern
eine bewusste Evolution, die höchstwahrscheinlich aus einem Fork
oder einer Rebranding-Operation hervorgegangen ist, die während
der Phase maximalen externen Drucks auf die ursprüngliche Gruppe
eingeleitet wurde.


Der von Gen Threat Labs aufgebaute Attributionsfall stützt sich
auf sechs technische Indikatoren, die eine Codebasis-Kontinuität
belegen. Der markanteste ist der
Application-Bound-Encryption-Bypass für Chromium-Browser: Sowohl
Lumma als auch Remus injizieren einen kompakten Shellcode in den
Browserprozess, um den v20_master_key direkt im Speicher zu
lokalisieren und CryptUnprotectMemory aus dem Prozesskontext des
Browsers heraus aufzurufen. Der Unterschied zwischen beiden
Implementierungen beträgt elf Bytes — 51 Bytes bei Remus
gegenüber 62 bei Lumma. Dieses Niveau an
Implementierungsparallelismus ist nicht zufällig. Weitere
gemeinsame Indikatoren umfassen nahezu identische
String-Verschleierung über Stack-Assembly und MBA-verstärkte
Entschlüsselungsschleifen, direkten Syscall-Dispatch über
Laufzeit-ntdll-Hash-zu-SSN-Lookup-Tabellen, identische
AntiVM-CPUID-Prüfungen gegen fünf Hypervisor-Signaturen in
gleicher Reihenfolge, eine gemeinsame Crypter-Präsenzprüfung über
NtRaiseHardError sowie überlappende
Kontrollfluss-Verschleierungsmuster. Die Attributionskette wird
durch Übergangsbuild-Sets namens Tenzor verankert, kompiliert am
16. September 2025 — auf dem Höhepunkt der Störungsperiode — die
sowohl einen Steam-Dead-Drop-Resolver aus bestätigten
Lumma-Samples als auch Artefakte enthalten, die ausschließlich
Remus zuzuordnen sind.


Die operativ bedeutsamste Evolution in Remus ist die Aufgabe von
Steam- und Telegram-Dead-Drop-Resolvern zugunsten von
EtherHiding. Zur Laufzeit sendet Remus eine
JSON-RPC-eth_call-Anfrage an eine hartkodierte
Ethereum-Smart-Contract-Adresse über einen öffentlichen
RPC-Endpunkt und extrahiert die C2-URL aus der hex-kodierten
Antwort. Die dezentralisierte und unveränderliche Natur der
Blockchain macht diese Infrastruktur effektiv resistent gegen
traditionelle Takedown-Verfahren. Remus führt zusätzlich zwei
Anti-Analyse-Prüfungen vor jedem C2-Verbindungsversuch ein:
Sandbox-DLL-Erkennung über CRC32-Hashing geladener Modulnamen
gegen elf bekannte Sandbox-DLL-Hashes sowie
Honeypot-PST-Erkennung über die Enumeration eines spezifischen
Outlook-PST-Dateinamens. Schlägt eine der Prüfungen an,
terminiert die Binärdatei lautlos über ExitProcess null.


Zur Erkennung: Überwachung auf JSON-RPC-eth_call-Anfragen an
öffentliche Ethereum-Endpunkte, die von Workstations ausgehen —
anomales Verhalten mit einer sehr geringen Falschpositivrate.
Überwachung auf versteckte Desktop-Erstellung über CreateDesktopW
kombiniert mit Browser-Prozessstart. Einsatz der von SOCPrime
veröffentlichten Remus-spezifischen Erkennungsregeln für direkten
Syscall-Einsatz, API-Hashing und Stealth-Ausführungsartefakte.
Jede Organisation, die Steam- oder Telegram-Dead-Drop-Blocking
als Lumma-Erkennungssignal verwendet hat, sollte diese
Kontrollmaßnahme als veraltet betrachten.


Quellen


Gen Digital – Remus: Unmasking the 64-bit variant of the
infamous Lumma Stealer :
https://www.gendigital.com/blog/insights/research/remus-64bit-variant-of-lumma-stealer

GBHackers – Remus infostealer debuts with stealthy new
credential-theft tactics :
https://gbhackers.com/remus-infostealer-debuts/

CyberPress – Remus infostealer emerges with credential theft
and advanced evasion tricks :
https://cyberpress.org/remus-infostealer-emerges-fast/



Nicht nachdenken, patchen!


Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website:https://www.radiocsirt.com/de
Wöchentlicher
Newsletter:https://radiocsirtgermanedition.substack.com/