En los últimos meses, un nuevo malware infostealer conocido como **REMUS** ha emergido en el panorama del cibercrimen, atrayendo la atención de investigadores de seguridad y analistas de malware. Varios análisis técnicos publicados en meses recientes se centraron en las capacidades del malware, su infraestructura y similitudes con **Lumma Stealer**, incluyendo mecanismos de ataque a navegadores, funcionalidad de robo de credenciales y más. Sin embargo, se ha prestado mucha menos atención a la operación clandestina detrás del malware en sí. Un análisis realizado por investigadores de **Flare** de 128 publicaciones vinculadas a la operación clandestina de REMUS entre el 12 de febrero y el 8 de mayo de 2026, ofrece una visión poco común de cómo el grupo presenta, desarrolla y opera el malware dentro de las comunidades clandestinas. Al analizar los anuncios del actor, los registros de actualizaciones, los anuncios de funciones, las discusiones operativas y las comunicaciones dirigidas a los clientes, la investigación ayuda a mapear cómo evolucionó la operación con el tiempo y qué prioridades impulsaron su desarrollo. Los hallazgos revelan no solo la rápida evolución de las capacidades del stealer, sino también un creciente enfoque en la comercialización, la escalabilidad operativa, el robo de sesiones y el ataque a gestores de contraseñas. De manera más amplia, la actividad ofrece una perspectiva sobre cómo las operaciones modernas de malware-as-a-service (MaaS) se parecen cada vez más a negocios de software estructurados, con ciclos de desarrollo continuos, refinamientos operativos y funciones diseñadas para mejorar la usabilidad, la persistencia y la monetización a largo plazo.  La actividad clandestina revela un ciclo de desarrollo altamente comprimido pero agresivo, con el operador publicando repetidamente actualizaciones de funciones, refinamientos operativos y nuevas capacidades de recolección a lo largo de solo unos pocos meses. En lugar de anunciar una versión estática del malware, las publicaciones retratan una plataforma MaaS activamente mantenida que evoluciona casi en tiempo real. * **Febrero de 2026** marcó el impulso comercial inicial. Las primeras publicaciones se centraron en establecer REMUS como un stealer confiable y fácil de usar, promoviendo el robo de credenciales de navegador, la recolección de cookies, el robo de tokens de **Discord**, la entrega por **Telegram** y la gestión básica de registros. El tono era altamente promocional y orientado al cliente. En una de las primeras publicaciones, el operador afirmó: "*Con un buen cifrado y un servidor intermediario dedicado, la tasa de retorno es de ~90%.*" Otra publicación promocionaba el malware como si tuviera "*soporte 24/7*" y una funcionalidad "*tan simple que hasta un niño puede entenderlo*", destacando un fuerte énfasis en la usabilidad y la comercialización desde el principio. * **Marzo de 2026** representó el período de desarrollo más activo de la campaña. Durante esta fase, el operador introdujo la funcionalidad de restauración de tokens, amplió el manejo de registros, páginas de estadísticas, filtrado de registros duplicados y mejoró los flujos de trabajo de entrega por Telegram. Múltiples publicaciones se centraron no en el robo en sí, sino en la visibilidad operativa y la gestión de campañas. Una actualización agregó apodos de trabajadores a las tablas de registros y vistas de estadísticas, mientras que otra mejoró la visibilidad de la ejecución del cargador para que los operadores pudieran comprender mejor las infecciones fallidas. El cambio sugiere que REMUS estaba evolucionando hacia una plataforma operativa más amplia en lugar de ser solo un ejecutable de malware. * **Abril de 2026** mostró un claro movimiento hacia la continuidad de sesiones y artefactos de autenticación del lado del navegador. El operador agregó soporte para proxy SOCKS5, mejoró la restauración de tokens, activadores anti-VM, ataque a plataformas de juegos y recolección relacionada con gestores de contraseñas. Una actualización declaró explícitamente: "*Se agregó recolección de IndexedDB para extensiones de **1Password** y **LastPass**.*" Otra hizo referencia a búsquedas relacionadas con **Bitwarden**. Las publicaciones enfatizaron cada vez más las sesiones autenticadas, los flujos de restauración y el almacenamiento del lado del navegador en lugar de solo credenciales independientes. * **Para principios de mayo de 2026**, la operación parecía enfocada en el refinamiento y la estabilidad operativa. Las publicaciones restantes en el conjunto de datos hicieron referencia a mejoras en la restauración, correcciones de errores, optimizaciones de recolección y ajustes continuos en la funcionalidad de entrega y gestión, lo que sugiere que el operador estaba pasando de una rápida expansión de funciones a la estabilización de la plataforma. ## REMUS y su conexión con Lumma  Los informes públicos se han centrado en gran medida en REMUS como un sucesor o variante técnicamente significativa de Lumma Stealer. Los investigadores describieron el malware como un infostealer de 64 bits que comparte múltiples similitudes con Lumma, incluyendo verificaciones anti-VM, robo de credenciales enfocado en navegadores y técnicas de elusión de cifrado de navegador. Esa superposición técnica es importante, pero los datos clandestinos sugieren que la historia se extiende mucho más allá del linaje del malware. Las publicaciones analizadas muestran a un actor de amenazas construyendo agresivamente un producto de cibercrimen comercial alrededor del malware. La operación promocionó repetidamente actualizaciones, soporte al cliente, mejoras de rendimiento y capacidades de recolección adicionales de una manera que se asemeja fuertemente a los ciclos de desarrollo de software legítimos. En una publicación temprana, el operador afirmó que el malware podía lograr tasas de entrega exitosas de aproximadamente el "90%" cuando se combinaba con un cifrado adecuado y un servidor intermediario, un lenguaje claramente dirigido a tranquilizar a los compradores potenciales sobre la confiabilidad operativa. ## Las sesiones robadas son las nuevas contraseñas robadas Los infostealers como REMUS ya no solo recopilan credenciales, capturan cookies, tokens de navegador y sesiones autenticadas que eluden completamente el MFA. Flare monitorea millones de registros de stealer en mercados de la dark web y canales de Telegram de forma continua, para que puedas detectar sesiones y credenciales expuestas antes de que los atacantes las usen en tu contra. ## Un giro hacia el robo de sesiones y el creciente valor de las cookies  Uno de los temas más claros en la campaña REMUS es el creciente énfasis en el robo de sesiones en lugar de la recolección tradicional de credenciales solamente. Históricamente, muchos infostealers se centraron principalmente en nombres de usuario y contraseñas. REMUS, sin embargo, enfatizó repetidamente la recolección de cookies, el manejo de tokens, las sesiones de navegador, la restauración asistida por proxy y la continuidad del acceso autenticado. Desde las primeras etapas de la campaña, el malware promocionó las sesiones de navegador y los artefactos de autenticación como una parte central de su valor. Esto refleja un cambio más amplio en la economía clandestina, donde las cookies robadas y las sesiones autenticadas se han convertido cada vez más en un producto de alto valor.