Remus Stealer
Ein neu entdeckter Infostealer namens REMUS hat aufgrund seiner rasanten Entwicklung, seines wachsenden Funktionsumfangs und seiner zunehmenden Ähnlichkeit mit einem professionellen Malware-as-a-Service (MaaS)-Ansatz in der Cyberkriminalitätsszene große Aufmerksamkeit erregt. Sicherheitsforscher und Malware-Analysten haben bereits Ähnlichkeiten zwischen REMUS und dem weithin bekannten Lumma Stealer hervorgehoben, insbesondere hinsichtlich Browser-Targeting-Techniken, Mechanismen zum Diebstahl von Zugangsdaten und Fähigkeiten zum Umgehen von Verschlüsselungen.
Die Untersuchung von 128 Beiträgen aus dem Untergrund, die mit der REMUS-Operation zwischen dem 12. Februar und dem 8. Mai 2026 in Verbindung stehen, liefert wertvolle Einblicke in die Vermarktung, Wartung und den Einsatz der Schadsoftware in kriminellen Netzwerken. Das gesammelte Material umfasste Werbung, Ankündigungen neuer Funktionen, Update-Protokolle, Kundenkommunikation und operative Diskussionen. Dadurch konnten die Forscher die Entwicklung der Plattform nachvollziehen und die Prioritäten identifizieren, die ihre Entwicklung prägten.
Die Ergebnisse enthüllen weit mehr als eine einfache Infostealer-Kampagne. REMUS zeigt einen umfassenderen Wandel innerhalb der Cyberkriminalitätsökonomie auf, in der Malware-Operationen durch kontinuierliche Updates, Kundensupport, operative Optimierung und langfristige Monetarisierungsstrategien immer mehr legitimen Softwareunternehmen ähneln.
Inhaltsverzeichnis
Ein aggressiver Entwicklungszyklus signalisiert ausgereifte MaaS-Operationen
Die REMUS-Operation zeichnete sich durch einen ungewöhnlich kurzen und äußerst aggressiven Entwicklungszeitplan aus. Anstatt ein statisches Malware-Produkt zu vermarkten, veröffentlichten die Betreiber innerhalb weniger Monate kontinuierlich Verbesserungen, Erweiterungen der Datensammlung und Managementfunktionen.
Im Februar 2026 erfolgte die erste kommerzielle Veröffentlichung der Malware. Die anfängliche Werbung konzentrierte sich stark auf Benutzerfreundlichkeit, den Diebstahl von Browser-Zugangsdaten, das Sammeln von Cookies und Discord-Tokens, die Zustellung von Telegram-Nachrichten und die Protokollverwaltung. Die Marketingsprache betonte Zuverlässigkeit und Zugänglichkeit und behauptete unter anderem, die Malware erreiche in Kombination mit effektiver Verschlüsselung und einer entsprechenden Serverinfrastruktur eine Erfolgsquote von etwa 90 %. Die Betreiber warben außerdem mit einem 24/7-Support und vereinfachter Bedienung, was signalisierte, dass Kommerzialisierung und Kundenzufriedenheit von Anfang an im Vordergrund standen.
Der März 2026 markierte die aktivste Entwicklungsphase der Kampagne. In diesem Zeitraum erweiterte die Malware ihre Funktionalität über den einfachen Diebstahl von Zugangsdaten hinaus zu einer umfassenderen operativen Plattform. Updates führten Funktionen zur Wiederherstellung von Tokens, zur Verfolgung von Mitarbeitern, zu Statistik-Dashboards, zur Filterung doppelter Protokolldateien, zur Verbesserung der Sichtbarkeit des Loaders und zu optimierten Telegram-Zustellungsabläufen ein. Mehrere Ankündigungen konzentrierten sich explizit auf Kampagnenmanagement und operative Überwachung anstatt allein auf Datendiebstahl, was auf eine strategische Neuausrichtung hin zu Skalierbarkeit und Administration hindeutet.
Im April 2026 wurde der Fokus noch stärker auf Sitzungskontinuität und browserseitige Authentifizierungsmechanismen gelegt. Die Operation umfasste SOCKS5-Proxy-Kompatibilität, Schutz vor virtuellen Maschinen, gezielte Angriffe auf Spieleplattformen, verbesserte Token-Wiederherstellung und Mechanismen zur Erfassung von Passwortmanager-bezogenen Daten. Ein Update bezog sich explizit auf die IndexedDB-Datenerfassung, die auf Browsererweiterungen von 1Password und LastPass abzielt, während andere Ankündigungen Bitwarden-bezogene Suchvorgänge erwähnten. Diese Entwicklungen unterstreichen den wachsenden Fokus auf die Sicherung authentifizierter Zugriffe anstatt auf das bloße Sammeln von Benutzernamen und Passwörtern.
Anfang Mai 2026 schien die Kampagne von einer rasanten Expansion in eine Phase der operativen Stabilisierung überzugehen. Die verbleibenden Updates konzentrierten sich größtenteils auf Fehlerbehebungen, Optimierungsmaßnahmen, Verbesserungen der Wiederherstellung und Verfeinerungen im Management, was darauf hindeutet, dass die Plattform in eine Wartungs- und Skalierungsphase eingetreten war.
Jenseits von Lumma: REMUS entwickelt sich zu einem kommerziellen Cyberkriminalitätsdienst
In der öffentlichen Berichterstattung wurde REMUS häufig als technisch bedeutender Nachfolger oder Variante von Lumma Stealer dargestellt. Analysten beschrieben die Malware als 64-Bit-Infostealer, der mehrere Merkmale mit Lumma teilt, darunter browserorientierter Anmeldeinformationsdiebstahl, Anti-VM-Prüfungen und die Möglichkeit, Verschlüsselungen zu umgehen.
Die Kommunikation im Untergrund deutet jedoch darauf hin, dass die Operation weit über die rein technische Herkunft hinausgeht. Die REMUS-Betreiber vermarkteten die Malware konsequent als professionell gewartetes Cyberkriminalitätsprodukt mit kontinuierlichen Updates, Funktionsverbesserungen, Kundensupport und erweiterten Erfassungsfunktionen. Der Kommunikationsstil ähnelte stark dem legitimer Softwareentwicklungsumgebungen, in denen Versionierung, Fehlerbehebung und Feature-Roadmaps eine entscheidende Rolle für die Kundenbindung spielen.
Die wiederholte Betonung von Erfolgsquoten bei der Auslieferung, Betriebssicherheit und Infrastrukturoptimierung verdeutlichte das klare Bestreben, Vertrauen bei potenziellen Käufern und Partnern aufzubauen. Anstatt als eigenständige Malware-Datei zu fungieren, positionierte sich REMUS zunehmend als skalierbare kriminelle Plattform, die auf die Unterstützung nachhaltiger Cyberkriminalität ausgelegt ist.
Sitzungsdiebstahl wird wertvoller als die traditionelle Beschaffung von Zugangsdaten
Eines der wichtigsten Themen, die während der gesamten REMUS-Kampagne beobachtet wurden, war die zunehmende Betonung von Session-Diebstahl und der Aufrechterhaltung des authentifizierten Zugriffs.
Historisch gesehen konzentrierten sich viele Infostealer primär auf das Sammeln von Benutzernamen und Passwörtern. REMUS priorisierte hingegen konsequent Browser-Cookies, Authentifizierungstoken, aktive Sitzungen, Proxy-gestützte Wiederherstellungsprozesse und im Browser gespeicherte Authentifizierungsdaten. Bereits in den ersten Werbematerialien schien die Verwaltung authentifizierter Sitzungen eines der Hauptverkaufsargumente der Malware zu sein.
Dieser Trend spiegelt einen umfassenderen Wandel im Bereich der Cyberkriminalität wider. Gestohlene, authentifizierte Sitzungen gewinnen zunehmend an Wert, da sie die Zwei-Faktor-Authentifizierung, Geräteverifizierungen, Anmeldewarnungen und risikobasierte Authentifizierungssysteme umgehen können. Anstatt sich bei zukünftigen Anmeldeversuchen ausschließlich auf gestohlene Zugangsdaten zu verlassen, streben Angreifer vermehrt direkten Zugriff auf bereits authentifizierte Umgebungen an.
Mehrere REMUS-Updates hoben insbesondere die Wiederherstellungsfunktionalität, die Proxy-Kompatibilität und die Unterstützung mehrerer Proxy-Typen während der Token-Wiederherstellung hervor. Diese Funktionen deuten stark darauf hin, dass die Sitzungspersistenz eine zentrale Komponente der operativen Strategie der Malware darstellte.
Die Kampagne zielte auch auf Plattformen ab, auf denen aktive Sitzungen besonders wertvoll sind, darunter Discord, Steam, Riot Games und mit Telegram verknüpfte Dienste. In Kombination mit umfangreichen Funktionen zum Sammeln und Wiederherstellen von Cookies schien die Malware nicht nur darauf ausgelegt zu sein, Zugangsdaten zu stehlen, sondern auch den authentifizierten Zugriff selbst zu sichern und zu nutzen.
Passwortmanager und Browserspeicher werden zu Hauptzielen.
Eine der wichtigsten Entwicklungen in der Endphase der Kampagne betraf die browserseitige Speicherung im Zusammenhang mit Passwortverwaltungssystemen. Bis April 2026 bewarben die Betreiber von REMUS Funktionen, die mit den Browserspeichermechanismen von Bitwarden, 1Password, LastPass und IndexedDB verknüpft waren.
Moderne Passwortmanager stellen hochkonzentrierte Speicher für Anmeldeinformationen, Authentifizierungstoken und sensible Kontodaten dar und sind daher attraktive Ziele für Cyberkriminelle. IndexedDB-Referenzen sind besonders relevant, da moderne Browsererweiterungen und Webanwendungen häufig auf den lokalen Browserspeicher zurückgreifen, um Sitzungsinformationen und Anwendungsdaten zu speichern.
Obwohl die analysierten Beiträge nicht unabhängig voneinander eine erfolgreiche Entschlüsselung von Passwort-Tresoren oder eine direkte Kompromittierung von Passwort-Managern bestätigen, zeigen sie doch deutlich, dass sich die Entwicklung von REMUS in Richtung der Sammlung von browserseitigen Speicherartefakten im Zusammenhang mit Passwort-Management-Umgebungen verlagert hat.
REMUS unterstreicht die Professionalisierung der modernen Cyberkriminalität
Die REMUS-Kampagne liefert ein aufschlussreiches Beispiel dafür, wie moderne MaaS-Ökosysteme zunehmend strukturierten Softwareunternehmen ähneln.
In den analysierten unterirdischen Kommunikationsvorgängen veröffentlichten die Betreiber regelmäßig Versionsaktualisierungen, Anleitungen zur Fehlerbehebung, Bugfixes, Funktionserweiterungen, verbesserte Statistiken und optimierte Betriebsübersichten. Hinweise auf Arbeiter, Dashboards, Protokollkategorisierung, Laderüberwachung und Managementübersicht deuten ebenfalls auf ein Umfeld mit mehreren Betreibern und spezialisierten Aufgaben hin.
Zu den wichtigsten Indikatoren für die professionalisierte MaaS-Struktur von REMUS gehörten:
- Kontinuierliche Funktionsentwicklung und versionierte Aktualisierungszyklen
- Kundenorientierter Support und Verbesserungen der Benutzerfreundlichkeit
- Operative Dashboards, Mitarbeiterverfolgung und Statistiküberwachung
- Arbeitsabläufe zur Wiederherstellung von Sitzungen, die für den dauerhaften Zugriff konzipiert sind
- Browserseitiges Speicher-Targeting in Verbindung mit Passwortverwaltungssystemen
REMUS spiegelt die zukünftige Ausrichtung der Operationen von Infostealern wider.
Die REMUS-Operation demonstriert, wie sich moderne Infostealer rasant von einfachen Zugangsdatendiebstählen hin zu umfassenden operativen Plattformen entwickeln, die auf Persistenz, Automatisierung, Skalierbarkeit und langfristige Monetarisierung ausgelegt sind.
Innerhalb weniger Monate wandelte sich die Kampagne von der einfachen Malware-Verbreitung zu einem ausgereiften MaaS-Ökosystem mit Fokus auf Betriebssicherheit, Aufrechterhaltung authentifizierter Sitzungen und skalierbaren Datenerfassungsfunktionen. Der zunehmende Fokus auf Token-Wiederherstellung, Proxy-gestützte Sitzungswiederherstellung und browserseitige Authentifizierungsartefakte unterstreicht einen umfassenderen Wandel in der Cyberkriminalität: weg vom reinen Passwortdiebstahl hin zur Aufrechterhaltung des kontinuierlichen Zugriffs auf authentifizierte Umgebungen.
Aus der REMUS-Kampagne ergeben sich mehrere weitergehende Schlussfolgerungen:
- Authentifizierte Sitzungen gewinnen zunehmend an Wert gegenüber einzelnen Anmeldeinformationen.
- Browserseitige Speicher- und Passwortmanager-Ökosysteme werden zunehmend ins Visier genommen.
- MaaS-Unternehmen ähneln in Struktur und Arbeitsablauf mittlerweile etablierten Softwareunternehmen.
- Operative Skalierbarkeit und Persistenz werden zu zentralen Prioritäten für Cyberkriminelle Gruppen.
Die REMUS-Kampagne unterstreicht letztlich eine wichtige Realität der Cybersicherheit: Das Verständnis dafür, wie Bedrohungsakteure Malware-Ökosysteme kommerzialisieren, operationalisieren und skalieren, wird genauso wichtig wie die Analyse des Malware-Codes selbst.
