Nos últimos meses, um novo malware infostealer conhecido como **REMUS** emergiu no cenário do cibercrime, atraindo a atenção de pesquisadores de segurança e analistas de malware. Várias análises técnicas publicadas nos últimos meses focaram nas capacidades do malware, infraestrutura e semelhanças com o **Lumma Stealer**, incluindo mecanismos de direcionamento de navegador, funcionalidade de roubo de credenciais e muito mais. No entanto, muito menos atenção foi dada à operação underground por trás do próprio malware. Uma análise conduzida por pesquisadores da **Flare** de 128 posts ligados à operação underground do REMUS entre 12 de fevereiro e 8 de maio de 2026, oferece um vislumbre raro de como o grupo apresenta, desenvolve e operacionaliza o malware dentro de comunidades underground. Ao analisar os anúncios do ator, logs de atualização, anúncios de recursos, discussões operacionais e comunicações voltadas para o cliente, a pesquisa ajuda a mapear como a operação evoluiu ao longo do tempo e quais prioridades impulsionaram seu desenvolvimento. As descobertas revelam não apenas a rápida evolução das capacidades do stealer, mas também um foco crescente em comercialização, escalabilidade operacional, roubo de sessão e direcionamento de gerenciadores de senhas. De forma mais ampla, a atividade oferece insights sobre como as operações modernas de malware-as-a-service (MaaS) se assemelham cada vez mais a negócios de software estruturados, com ciclos de desenvolvimento contínuos, refinamentos operacionais e recursos projetados para melhorar a usabilidade, persistência e monetização a longo prazo.  A atividade underground revela um ciclo de desenvolvimento altamente comprimido, mas agressivo, com o operador publicando repetidamente atualizações de recursos, refinamentos operacionais e novas capacidades de coleta ao longo de apenas alguns meses. Em vez de anunciar uma build de malware estática, os posts retratam uma plataforma MaaS ativamente mantida, evoluindo em tempo quase real. * **Fevereiro de 2026** marcou o impulso comercial inicial. Os primeiros posts focaram em estabelecer o REMUS como um stealer confiável e fácil de usar, promovendo o roubo de credenciais de navegador, coleta de cookies, roubo de token do **Discord**, entrega via **Telegram** e gerenciamento básico de logs. O tom era altamente promocional e voltado para o cliente. Em um dos primeiros posts, o operador afirmou: "*Com boa criptografia e um servidor intermediário dedicado, a taxa de retorno é de ~90%*." Outro post comercializou o malware como apresentando "*suporte 24/7*" e funcionalidade "*simples o suficiente que até uma criança consegue entender*", destacando uma forte ênfase na usabilidade e comercialização desde o início. * **Março de 2026** representou o período de desenvolvimento mais ativo da campanha. Durante esta fase, o operador introduziu funcionalidade de restauração de token, expandiu o manuseio de logs, rastreamento de trabalhadores, páginas de estatísticas, filtragem de logs duplicados e melhorou os fluxos de trabalho de entrega via Telegram. Vários posts focaram não no roubo em si, mas na visibilidade operacional e gerenciamento de campanha. Uma atualização adicionou apelidos de trabalhadores às tabelas de logs e visualizações de estatísticas, enquanto outra melhorou a visibilidade da execução do loader para que os operadores pudessem entender melhor as infecções falhas. A mudança sugere que o REMUS estava evoluindo para uma plataforma operacional mais ampla, em vez de apenas um executável de malware. * **Abril de 2026** mostrou um movimento claro em direção à continuidade de sessão e artefatos de autenticação do lado do navegador. O operador adicionou suporte a proxy SOCKS5, melhorou a restauração de token, alternâncias anti-VM, direcionamento de plataforma de jogos e coleta relacionada a gerenciadores de senhas. Uma atualização declarou explicitamente: "*Adicionada coleta de IndexedDB para extensões do **1Password** e **LastPass**.*" Outra fez referência a pesquisas relacionadas ao **Bitwarden**. Os posts enfatizaram cada vez mais sessões autenticadas, fluxos de trabalho de restauração e armazenamento do lado do navegador, em vez de apenas credenciais isoladas. * **No início de maio de 2026**, a operação parecia focada em refinamento e estabilidade operacional. Os posts restantes no conjunto de dados referenciaram melhorias de restauração, correções de bugs, otimizações de coleta e ajustes contínuos na funcionalidade de entrega e gerenciamento, sugerindo que o operador estava mudando da rápida expansão de recursos para a estabilização da plataforma. ## REMUS e Sua Conexão com Lumma  Relatórios públicos focaram em grande parte no REMUS como um sucessor ou variante tecnicamente significativa do Lumma Stealer. Pesquisadores descreveram o malware como um infostealer de 64 bits compartilhando várias semelhanças com o Lumma, incluindo verificações anti-VM, roubo de credenciais focado em navegadores e técnicas de bypass de criptografia de navegador. Essa sobreposição técnica é importante, mas os dados underground sugerem que a história se estende muito além da linhagem do malware. Os posts analisados mostram um ator de ameaça construindo agressivamente um produto de cibercrime comercial em torno do malware. A operação promoveu repetidamente atualizações, suporte ao cliente, melhorias de desempenho e capacidades de coleta adicionais de uma maneira que se assemelha fortemente a ciclos de desenvolvimento de software legítimos. Em um post inicial, o operador afirmou que o malware poderia atingir aproximadamente "90%" de taxas de entrega bem-sucedidas quando emparelhado com criptografia adequada e um servidor intermediário, linguagem claramente voltada para tranquilizar potenciais compradores sobre a confiabilidade operacional. ## Sessões Roubadas São as Novas Senhas Roubadas Infostealers como o REMUS não apenas coletam credenciais, eles capturam cookies, tokens de navegador e sessões autenticadas que contornam o MFA completamente. A Flare monitora milhões de logs de stealer em mercados da dark web e canais do Telegram continuamente, para que você possa detectar sessões e credenciais expostas antes que os atacantes as usem contra você. ## Uma Mudança em Direção ao Roubo de Sessão e o Valor Crescente dos Cookies  Um dos temas mais claros na campanha REMUS é a ênfase crescente no roubo de sessão, em vez da coleta tradicional de credenciais. Historicamente, muitos infostealers focavam principalmente em nomes de usuário e senhas. O REMUS, no entanto, enfatizou repetidamente a coleta de cookies, o manuseio de tokens, sessões de navegador, restauração assistida por proxy e a continuidade de acesso autenticado. Desde os estágios iniciais da campanha, o malware promoveu sessões de navegador e artefatos de autenticação como uma parte central de seu valor. Isso reflete uma mudança mais ampla na economia underground, onde cookies roubados e sessões autenticadas se tornaram cada vez mais uma mercadoria de alto valor.