Ces derniers mois, un nouveau malware voleur d'informations connu sous le nom de **REMUS** a émergé dans le paysage de la cybercriminalité, attirant l'attention des chercheurs en sécurité et des analystes de malware. Plusieurs analyses techniques publiées ces derniers mois se sont concentrées sur les capacités du malware, son infrastructure et ses similitudes avec **Lumma Stealer**, notamment les mécanismes de ciblage des navigateurs, la fonctionnalité de vol d'identifiants, et plus encore. Cependant, beaucoup moins d'attention a été accordée à l'opération clandestine derrière le malware lui-même. Une analyse menée par les chercheurs de **Flare** sur 128 publications liées à l'opération clandestine REMUS entre le 12 février et le 8 mai 2026, offre un aperçu rare de la manière dont le groupe présente, développe et opérationnalise le malware au sein des communautés clandestines. En analysant les publicités de l'acteur, les journaux de mise à jour, les annonces de fonctionnalités, les discussions opérationnelles et les communications destinées aux clients, la recherche aide à cartographier l'évolution de l'opération au fil du temps et les priorités qui ont guidé son développement. Les découvertes révèlent non seulement l'évolution rapide des capacités du voleur d'informations, mais aussi un intérêt croissant pour la commercialisation, la scalabilité opérationnelle, le vol de sessions et le ciblage des gestionnaires de mots de passe. Plus largement, cette activité offre un aperçu de la manière dont les opérations modernes de malware-as-a-service (MaaS) ressemblent de plus en plus à des entreprises logicielles structurées, avec des cycles de développement continus, des raffinements opérationnels et des fonctionnalités conçues pour améliorer la convivialité, la persistance et la monétisation à long terme.  L'activité clandestine révèle un cycle de développement très condensé mais agressif, l'opérateur publiant à plusieurs reprises des mises à jour de fonctionnalités, des raffinements opérationnels et de nouvelles capacités de collecte sur quelques mois seulement. Plutôt que de promouvoir une version statique du malware, les publications dépeignent une plateforme MaaS activement maintenue, évoluant en temps quasi réel. * **Février 2026** a marqué la première poussée commerciale. Les premières publications se sont concentrées sur l'établissement de REMUS comme un voleur d'informations fiable et facile à utiliser, promouvant le vol d'identifiants de navigateur, la collecte de cookies, le vol de jetons **Discord**, la livraison via **Telegram**, et la gestion de base des journaux. Le ton était très promotionnel et orienté client. Dans l'une des premières publications, l'opérateur a affirmé : « *Avec un bon cryptage et un serveur intermédiaire dédié, le taux de rappel est d'environ 90 %. * » Une autre publication commercialisait le malware comme offrant « *un support 24h/24 et 7j/7* » et une fonctionnalité « *assez simple pour que même un enfant puisse la comprendre* », soulignant dès le départ un fort accent sur la convivialité et la commercialisation. * **Mars 2026** a représenté la période de développement la plus active de la campagne. Durant cette phase, l'opérateur a introduit la fonctionnalité de restauration de jetons, une gestion étendue des journaux, le suivi des travailleurs, des pages de statistiques, le filtrage des journaux en double et des flux de livraison améliorés via Telegram. Plusieurs publications se sont concentrées non pas sur le vol lui-même, mais sur la visibilité opérationnelle et la gestion de campagne. Une mise à jour a ajouté des surnoms de travailleurs aux tables de journaux et aux vues de statistiques, tandis qu'une autre a amélioré la visibilité de l'exécution du chargeur afin que les opérateurs puissent mieux comprendre les infections échouées. Ce changement suggère que REMUS évoluait vers une plateforme opérationnelle plus large plutôt qu'un simple exécutable de malware. * **Avril 2026** a montré un mouvement clair vers la continuité des sessions et les artefacts d'authentification côté navigateur. L'opérateur a ajouté le support des proxys SOCKS5, amélioré la restauration des jetons, des basculements anti-VM, le ciblage des plateformes de jeux et la collecte liée aux gestionnaires de mots de passe. Une mise à jour indiquait explicitement : « *Ajout de la collecte IndexedDB pour les extensions **1Password** et **LastPass**.* » Une autre faisait référence à des recherches liées à **Bitwarden**. Les publications mettaient de plus en plus l'accent sur les sessions authentifiées, les flux de restauration et le stockage côté navigateur plutôt que sur les seuls identifiants autonomes. * **Début mai 2026**, l'opération semblait se concentrer sur le raffinement et la stabilité opérationnelle. Les publications restantes dans l'ensemble de données faisaient référence à des améliorations de restauration, des corrections de bugs, des optimisations de collecte et des ajustements continus à la fonctionnalité de livraison et de gestion, suggérant que l'opérateur passait d'une expansion rapide des fonctionnalités à la stabilisation de la plateforme. ## REMUS et sa connexion à Lumma  Les rapports publics se sont largement concentrés sur REMUS en tant que successeur ou variante techniquement significative de Lumma Stealer. Les chercheurs ont décrit le malware comme un voleur d'informations 64 bits partageant plusieurs similitudes avec Lumma, notamment des vérifications anti-VM, le vol d'identifiants axé sur les navigateurs et des techniques de contournement du chiffrement des navigateurs. Ce chevauchement technique est important, mais les données clandestines suggèrent que l'histoire va bien au-delà de la lignée du malware. Les publications analysées montrent un acteur de menace construisant agressivement un produit de cybercriminalité commercial autour du malware. L'opération a promu à plusieurs reprises des mises à jour, un support client, des améliorations de performance et des capacités de collecte supplémentaires d'une manière qui ressemble fortement aux cycles de développement de logiciels légitimes. Dans une publication précoce, l'opérateur a affirmé que le malware pouvait atteindre environ « 90 % » de taux de livraison réussie lorsqu'il était associé à un cryptage approprié et à un serveur intermédiaire, un langage clairement destiné à rassurer les acheteurs potentiels sur la fiabilité opérationnelle. ## Les sessions volées sont les nouveaux mots de passe volés Les voleurs d'informations comme REMUS ne font plus que collecter des identifiants ; ils capturent des cookies, des jetons de navigateur et des sessions authentifiées qui contournent complètement le MFA. Flare surveille en continu des millions de journaux de voleurs d'informations sur les marchés du dark web et les canaux Telegram, afin que vous puissiez détecter les sessions et les identifiants exposés avant que les attaquants ne les utilisent contre vous. ## Une évolution vers le vol de sessions et la valeur croissante des cookies  L'un des thèmes les plus clairs de la campagne REMUS est l'accent croissant mis sur le vol de sessions plutôt que sur la seule collecte traditionnelle d'identifiants. Historiquement, de nombreux voleurs d'informations se concentraient principalement sur les noms d'utilisateur et les mots de passe. REMUS, cependant, a mis l'accent à plusieurs reprises sur la collecte de cookies, la gestion des jetons, les sessions de navigateur, la restauration assistée par proxy et la continuité de l'accès authentifié. Dès les premières étapes de la campagne, le malware a promu les sessions de navigateur et les artefacts d'authentification comme un élément central de sa valeur. Cela reflète un changement plus large au sein de l'économie souterraine, où les cookies volés et les sessions authentifiées sont devenus une marchandise de plus en plus précieuse.