In den letzten Monaten ist eine neue Infostealer-Malware namens **REMUS** in der Cybercrime-Landschaft aufgetaucht und hat die Aufmerksamkeit von Sicherheitsexperten und Malware-Analysten auf sich gezogen. Mehrere technische Analysen, die in den letzten Monaten veröffentlicht wurden, konzentrierten sich auf die Fähigkeiten der Malware, ihre Infrastruktur und Ähnlichkeiten mit **Lumma Stealer**, einschließlich Mechanismen zur Browser-Zielerfassung, Funktionen zum Diebstahl von Anmeldedaten und mehr. Weitaus weniger Aufmerksamkeit wurde jedoch der kriminellen Operation hinter der Malware selbst gewidmet. Eine Analyse von **Flare**-Forschern von 128 Beiträgen, die zwischen dem 12. Februar und dem 8. Mai 2026 mit der REMUS-Operation in Verbindung gebracht wurden, bietet einen seltenen Einblick, wie die Gruppe die Malware in kriminellen Gemeinschaften präsentiert, entwickelt und einsetzt. Durch die Analyse der Anzeigen, Update-Protokolle, Feature-Ankündigungen, operativen Diskussionen und kundenorientierten Kommunikation der Akteure hilft die Forschung dabei, die Entwicklung der Operation im Laufe der Zeit und die Prioritäten, die ihre Entwicklung vorantrieben, abzubilden. Die Ergebnisse zeigen nicht nur die rasante Entwicklung der Fähigkeiten des Stealers, sondern auch einen wachsenden Fokus auf Kommerzialisierung, operative Skalierbarkeit, Session-Diebstahl und die gezielte Erfassung von Passwort-Managern. Im breiteren Sinne bietet die Aktivität Einblicke, wie moderne Malware-as-a-Service (MaaS)-Operationen zunehmend strukturierten Softwareunternehmen ähneln, mit kontinuierlichen Entwicklungszyklen, operativen Verfeinerungen und Funktionen, die darauf ausgelegt sind, Benutzerfreundlichkeit, Persistenz und langfristige Monetarisierung zu verbessern.  Die kriminelle Aktivität zeigt einen stark komprimierten, aber aggressiven Entwicklungszyklus, bei dem der Betreiber innerhalb weniger Monate wiederholt Feature-Updates, operative Verfeinerungen und neue Erfassungsfunktionen veröffentlichte. Anstatt eine statische Malware-Version anzubieten, stellen die Beiträge eine aktiv gepflegte MaaS-Plattform dar, die sich nahezu in Echtzeit entwickelt. * **Februar 2026** markierte den Beginn des kommerziellen Vorstoßes. Frühe Beiträge konzentrierten sich darauf, REMUS als zuverlässigen und einfach zu bedienenden Stealer zu etablieren, wobei Browser-Anmeldedaten, Cookie-Sammlung, **Discord**-Token-Diebstahl, **Telegram**-Übermittlung und grundlegendes Log-Management beworben wurden. Der Ton war stark werblich und kundenorientiert. In einem der frühesten Beiträge behauptete der Betreiber: "*Mit guter Verschlüsselung und einem dedizierten Zwischenserver liegt die Callback-Rate bei ~90%.*" Ein weiterer Beitrag vermarktete die Malware mit "*24/7 Support*" und einer Funktionalität, die "*so einfach ist, dass selbst ein Kind sie verstehen kann*", was von Anfang an einen starken Fokus auf Benutzerfreundlichkeit und Kommerzialisierung unterstreicht. * **März 2026** stellte die aktivste Entwicklungsphase der Kampagne dar. In dieser Phase führte der Betreiber eine Funktion zur Wiederherstellung von Tokens ein, erweiterte die Protokollverarbeitung, fügte Statistiken, Filterung von Duplikat-Protokollen und verbesserte Workflows für die Telegram-Übermittlung hinzu. Mehrere Beiträge konzentrierten sich nicht auf den Diebstahl selbst, sondern auf operative Transparenz und Kampagnenmanagement. Ein Update fügte Spitznamen von Arbeitern zu Protokolltabellen und Ansichten hinzu, während ein anderes die Sichtbarkeit der Ausführung von Loadern verbesserte, damit Betreiber fehlgeschlagene Infektionen besser verstehen konnten. Die Verschiebung deutet darauf hin, dass sich REMUS zu einer breiteren operativen Plattform entwickelte und nicht nur zu einer Malware-Executable. * **April 2026** zeigte eine klare Bewegung hin zu Sitzungskontinuität und browserbasierten Authentifizierungsartefakten. Der Betreiber fügte SOCKS5-Proxy-Unterstützung hinzu, verbesserte die Token-Wiederherstellung, Anti-VM-Schalter, die Zielerfassung von Spieleplattformen und die Sammlung von Daten aus Passwort-Managern. Ein Update besagte ausdrücklich: "*IndexedDB-Sammlung für **1Password** und **LastPass**-Erweiterungen hinzugefügt.*" Ein anderes bezog sich auf **Bitwarden**-bezogene Suchen. Die Beiträge betonten zunehmend authentifizierte Sitzungen, Wiederherstellungsworkflows und browserspeicherbasierte Speicherung anstelle von alleinigen Anmeldedaten. * **Anfang Mai 2026** schien sich die Operation auf Verfeinerung und operative Stabilität zu konzentrieren. Die verbleibenden Beiträge im Datensatz bezogen sich auf Wiederherstellungsverbesserungen, Fehlerbehebungen, Sammlungsoptimierungen und fortlaufende Anpassungen der Übermittlungs- und Verwaltungsfunktionen, was darauf hindeutet, dass der Betreiber von einer schnellen Feature-Erweiterung zu einer Plattformstabilisierung überging. ## REMUS und seine Verbindung zu Lumma  Öffentliche Berichte konzentrierten sich weitgehend auf REMUS als technisch bedeutenden Nachfolger oder Variante von Lumma Stealer. Forscher beschrieben die Malware als 64-Bit-Infostealer, der mehrere Ähnlichkeiten mit Lumma aufweist, darunter Anti-VM-Prüfungen, browserbasierter Diebstahl von Anmeldedaten und Techniken zur Umgehung der Browser-Verschlüsselung. Diese technische Überschneidung ist wichtig, aber die Daten aus der kriminellen Unterwelt deuten darauf hin, dass die Geschichte weit über die Malware-Abstammung hinausgeht. Die analysierten Beiträge zeigen einen Bedrohungsakteur, der aggressiv ein kommerzielles Cybercrime-Produkt rund um die Malware aufbaut. Die Operation bewarb wiederholt Updates, Kundensupport, Leistungsverbesserungen und zusätzliche Erfassungsfunktionen auf eine Weise, die legitimen Softwareentwicklungszyklen stark ähnelt. In einem frühen Beitrag behauptete der Betreiber, dass die Malware mit der richtigen Verschlüsselung und einem Zwischenserver eine erfolgreiche Übermittlungsrate von etwa "90%" erreichen könne, eine Sprache, die eindeutig darauf abzielt, potenzielle Käufer von der operativen Zuverlässigkeit zu überzeugen. ## Gestohlene Sitzungen sind die neuen gestohlenen Passwörter Infostealer wie REMUS stehlen nicht mehr nur Anmeldedaten, sondern erfassen Cookies, Browser-Tokens und authentifizierte Sitzungen, die MFA vollständig umgehen. Flare überwacht kontinuierlich Millionen von Stealer-Protokollen auf Dark-Web-Märkten und Telegram-Kanälen, damit Sie exponierte Sitzungen und Anmeldedaten erkennen können, bevor Angreifer sie gegen Sie verwenden. ## Eine Verlagerung hin zum Sitzungsdiebstahl und dem steigenden Wert von Cookies  Eines der deutlichsten Themen während der REMUS-Kampagne ist die zunehmende Betonung des Sitzungsdiebstahls anstelle der alleinigen traditionellen Erfassung von Anmeldedaten. Historisch gesehen konzentrierten sich viele Infostealer hauptsächlich auf Benutzernamen und Passwörter. REMUS betonte jedoch wiederholt die Cookie-Sammlung, die Token-Verarbeitung, Browser-Sitzungen, die Proxy-gestützte Wiederherstellung und die Kontinuität der authentifizierten Zugriffe. Von den frühesten Phasen der Kampagne an bewarb die Malware Browser-Sitzungen und Authentifizierungsartefakte als Kernbestandteil ihres Wertes. Dies spiegelt eine breitere Verschiebung in der kriminellen Untergrundwirtschaft wider, bei der gestohlene Cookies und authentifizierte Sitzungen zunehmend zu einer hochgeschätzten Ware geworden sind.