ここ数ヶ月、サイバー犯罪の世界に「**REMUS**」として知られる新しいインフォステラーマルウェアが出現し、セキュリティ研究者やマルウェアアナリストの注目を集めています。最近公開されたいくつかの技術分析では、ブラウザの標的設定メカニズム、認証情報窃取機能など、マルウェアの機能、インフラストラクチャ、そして「**Lumma Stealer**」との類似性に焦点が当てられてきました。 しかし、マルウェア自体の地下での運用には、それほど注目が集まっていません。 「**Flare**」の研究者が2026年2月12日から5月8日までの間にREMUSの地下での運用に関連する128件の投稿を分析した結果、このグループが地下コミュニティ内でマルウェアをどのように提示し、開発し、運用しているかについての貴重な洞察が得られました。攻撃者の広告、アップデートログ、機能発表、運用上の議論、顧客向けコミュニケーションを分析することで、この運用が時間とともにどのように進化し、その開発を推進した優先事項は何であったかが明らかになります。 その結果は、ステラーの機能の急速な進化だけでなく、商業化、運用のスケーラビリティ、セッション窃取、パスワードマネージャーの標的設定への関心の高まりも明らかにしています。より広範には、この活動は、継続的な開発サイクル、運用上の改善、使いやすさ、永続性、長期的な収益化を向上させるように設計された機能を持つ、現代のマルウェア・アズ・ア・サービス（MaaS）運用が、構造化されたソフトウェアビジネスにますます似ていることを示唆しています。  地下での活動は、数ヶ月という短期間でオペレーターが機能アップデート、運用上の改善、新しい収集機能を繰り返し公開するという、非常に圧縮された、しかし攻撃的な開発サイクルを明らかにしています。 静的なマルウェアビルドを宣伝するのではなく、投稿はほぼリアルタイムで進化する、積極的に維持されているMaaSプラットフォームを描写しています。 * **2026年2月**は、最初の商業的なプッシュの時期でした。初期の投稿は、REMUSを信頼性が高く使いやすいステラーとして確立することに焦点を当て、ブラウザの認証情報窃取、Cookie収集、「**Discord**」トークン窃取、「**Telegram**」配信、基本的なログ管理を宣伝しました。トーンは非常に宣伝的で顧客志向でした。最も初期の投稿の1つで、オペレーターは次のように主張しました。「*優れた暗号化と専用の中継サーバーがあれば、コールバック率は約90%です。*」 別の投稿では、マルウェアを「*24時間年中無休のサポート*」と「*子供でも理解できるほど簡単な*」機能を備えていると宣伝し、当初から使いやすさと商業化に重点を置いていることを強調しました。 * **2026年3月**は、キャンペーンの最も活発な開発期間でした。このフェーズでは、オペレーターはトークン復元機能、拡張されたログ処理、ワーカー追跡、統計ページ、重複ログフィルタリング、および改善されたTelegram配信ワークフローを導入しました。複数の投稿は、窃取そのものではなく、運用上の可視性とキャンペーン管理に焦点を当てました。あるアップデートでは、ログテーブルと統計ビューにワーカーのニックネームが追加され、別のアップデートでは、オペレーターが失敗した感染をよりよく理解できるようにローダー実行の可視性が向上しました。このシフトは、REMUSが単なるマルウェア実行ファイルではなく、より広範な運用プラットフォームへと進化していることを示唆しています。 * **2026年4月**は、セッションの継続性とブラウザ側の認証アーティファクトへの明確な移行を示しました。オペレーターはSOCKS5プロキシサポートを追加し、トークン復元、アンチVMトグル、ゲームプラットフォームの標的設定、パスワードマネージャー関連の収集を改善しました。あるアップデートでは、「*1Password**と**LastPass**拡張機能のIndexedDB収集を追加しました。*」と明記されました。 別の投稿では、「**Bitwarden**」関連の検索に言及しました。投稿は、スタンドアロンの認証情報だけでなく、認証済みセッション、復元ワークフロー、ブラウザ側ストレージをますます強調するようになりました。 * **2026年5月初旬**までに、運用は改善と運用上の安定性に焦点を当てているようでした。データセットに残りの投稿は、復元改善、バグ修正、収集最適化、配信および管理機能の継続的な調整に言及しており、オペレーターが急速な機能拡張からプラットフォームの安定化へと移行していることを示唆しています。 ## REMUSとLummaとの関連性  公開されている報告の多くは、REMUSをLumma Stealerの技術的に重要な後継またはバリアントとして扱ってきました。研究者たちは、このマルウェアを、アンチVMチェック、ブラウザ中心の認証情報窃取、ブラウザ暗号化バイパス技術など、Lummaと多くの類似性を共有する64ビットのインフォステラーとして説明しています。 その技術的な重複は重要ですが、地下のデータは、物語がマルウェアの系統を超えて広がっていることを示唆しています。 分析された投稿は、脅威アクターがマルウェアを中心に商業的なサイバー犯罪製品を積極的に構築していることを示しています。この運用は、正規のソフトウェア開発サイクルに強く似た方法で、アップデート、カスタマーサポート、パフォーマンス改善、追加の収集機能を繰り返し宣伝しました。 初期の投稿の1つで、オペレーターは、適切な暗号化と中継サーバーと組み合わせると、マルウェアが約「90%」の成功した配信率を達成できると主張しました。これは、運用上の信頼性について潜在的な購入者を安心させることを明確に目的とした言葉遣いです。 ## 盗まれたセッションが新しい盗まれたパスワード REMUSのようなインフォステラーは、もはや認証情報を収集するだけでなく、MFAを完全にバイパスするCookie、ブラウザトークン、認証済みセッションをキャプチャします。 Flareは、ダークウェブマーケットやTelegramチャンネル全体で数百万ものステラーログを継続的に監視しているため、攻撃者が悪用する前に公開されたセッションや認証情報を検出できます。 ## セッション窃取への移行とCookieの価値の上昇  REMUSキャンペーン全体で最も明確なテーマの1つは、従来の認証情報収集だけでなく、セッション窃取への関心の高まりです。 歴史的に、多くのインフォステラーは主にユーザー名とパスワードに焦点を当てていました。 しかし、REMUSは、Cookie収集、トークン処理、ブラウザセッション、プロキシ支援復元、および認証済みアクセス継続性を繰り返し強調しました。キャンペーンの初期段階から、マルウェアはブラウザセッションと認証アーティファクトをその価値の中核部分として宣伝していました。 これは、盗まれたCookieと認証済みセッションがますます価値の高い商品となっている地下経済全体における、より広範なシフトを反映しています。