ハッカーは、新しい64ビットのインフォステーラーである「Remus」を展開しています。このコードは、2025年に法執行機関による干渉と公開ドックによってコアオペレーターが公表された後、ノイズOUSなLumma Stealerの直接的な後継者であることを強く示唆しています。
Remusの特徴
Remusは、ブラウザパスワード、クッキー、オートフィルデータ、暗号通貨ウォレットなどの資格情報を収集し、販売または追加攻撃に使用する情報ステーラーです。Lummaのオリジナル32ビットバージョンとは異なり、Remusはネイティブx64ペイロードとして配布され、現代のWindows環境での互換性を向上させています。
コードの類似点
Gen Threat Labsは、2025年9月に「Tenzor」というプロトタイプテストビルドが現れた直後にRemusキャンペーンを初めて観察しました。逆向工学により、RemusとLummaはスタックベースの文字列暗号化やMBAスタイルのオブファスケーションなどの特定の実装詳細を共有することが明らかになりました。
新規機能
- インフラストラクチャと回避技術が強化されています。
- C2インフラストラクチャは、SteamプロフィールやTelegramチャンネルを通じて解決されるようになりました。
Remusは、スマートコントラクトデータの分散化と不変性を利用してC2の堅牢性を高めています。これにより、攻撃者はEthereumスマートコントラクトから実行時にC2アドレスを取得し、防御者がそれを削除することは困難になっています。
対策
組織はRemusを高度な脅威として扱い、検出ルールやEDR規則セットを更新してEtherHidingドライバーとABEバイパスの動作に対応する必要があります。