Remus Stealer

一种名为 REMUS 的新型信息窃取程序因其快速发展、功能不断扩展以及与专业恶意软件即服务 (MaaS) 运营模式日益相似，在网络犯罪领域引起了广泛关注。安全研究人员和恶意软件分析师已经指出 REMUS 与广为人知的 Lumma Stealer 存在诸多相似之处，尤其是在浏览器目标定位技术、凭证窃取机制和加密绕过能力方面。

对2026年2月12日至5月8日期间与REMUS行动相关的128个地下帖子进行分析，为了解该恶意软件如何在网络犯罪群体中进行推广、维护和运营提供了宝贵的见解。收集到的材料包括广告、功能公告、更新日志、客户沟通记录和运营讨论，使研究人员能够追踪该平台的演变过程，并确定影响其发展的优先事项。

研究结果揭示的远不止是一起简单的信息窃取活动。REMUS 揭示了网络犯罪经济中正在发生的更广泛的转变，恶意软件运营越来越像合法软件公司，通过持续更新、客户支持、运营优化和长期盈利策略来实现这一转变。

积极的开发周期标志着出行即服务 (MaaS) 运营的成熟

REMUS行动展现出异常紧凑且极具侵略性的开发周期。该组织并未推出静态的恶意软件产品，而是在短短几个月内持续发布改进版本、增强收集功能和管理特性。

2026年2月，该恶意软件首次正式商业发布。早期推广重点在于其易用性、窃取浏览器凭证、收集cookie、窃取Discord令牌、Telegram消息推送以及日志管理功能。营销宣传着重强调其可靠性和易用性，声称该恶意软件在配合有效的加密技术和中间服务器基础设施时，回拨成功率可达约90%。运营方还宣传“全天候支持”和简化的用户体验，表明商业化和用户体验从一开始就是其核心优先事项。

2026年3月成为该攻击活动最为活跃的开发阶段。在此期间，恶意软件的功能不再局限于简单的凭证窃取，而是扩展为一个更广泛的运营平台。更新引入了令牌恢复功能、工作进程跟踪、统计信息仪表板、重复日志过滤、加载器可见性改进以及增强的Telegram分发工作流程。一些公告特别关注攻击活动管理和运营监控，而不仅仅是数据窃取，这表明该恶意软件的战略重心正在向可扩展性和可管理性转移。

2026 年 4 月的更新进一步凸显了对会话连续性和浏览器端身份验证信息的重视。此次更新新增了 SOCKS5 代理兼容性、反虚拟机功能、针对游戏平台的攻击、增强的令牌恢复功能以及与密码管理器相关的信息收集机制。其中一项更新明确提及了针对与 1Password 和 LastPass 关联的浏览器扩展程序的 IndexedDB 信息收集，而其他公告则提到了与 Bitwarden 相关的搜索。这些进展表明，攻击者越来越重视保护已认证的访问权限，而不仅仅是收集用户名和密码。

到2026年5月初，该活动似乎已从快速扩张阶段过渡到运行稳定阶段。剩余的更新主要集中在漏洞修复、优化、恢复改进和管理完善方面，这表明该平台已进入维护和扩展阶段。

超越 Lumma：REMUS 演变为商业网络犯罪服务

公开报道经常将 REMUS 描述为 Lumma Stealer 在技术上的重要升级版或变种。分析人士称，该恶意软件是一款 64 位信息窃取程序，与 Lumma 具有多项共同特征，包括针对浏览器的凭证窃取、反虚拟机检查和加密绕过功能。

然而，地下通讯表明，该行动的影响远不止于技术传承。REMUS 运营者始终将该恶意软件宣传为一款由专业团队维护的网络犯罪产品，并提供持续更新、运营改进、客户支持和扩展的情报收集能力。其沟通方式与合法软件开发环境极为相似，在合法软件开发环境中，版本控制、故障排除和功能路线图在客户维系方面发挥着至关重要的作用。

对交付成功率、运行可靠性和基础设施优化的反复强调，清晰地表明了其旨在建立潜在买家和合作伙伴信任的努力。REMUS 不再仅仅是一个独立的恶意软件可执行文件，而是日益将自身定位为一个可扩展的犯罪平台，旨在支持持续的网络犯罪活动。

会话窃取比传统凭证收集更有价值

REMUS 行动中观察到的最重要主题之一是对会话窃取和认证访问连续性的日益重视。

历史上，许多信息窃取程序主要集中于收集用户名和密码。然而，REMUS 却始终优先考虑浏览器 cookie、身份验证令牌、活动会话、代理辅助恢复工作流程以及浏览器存储的身份验证信息。从最早的宣传材料开始，经过身份验证的会话处理似乎就成了该恶意软件的主要卖点之一。

这一趋势反映了地下网络犯罪市场更广泛的转型。被盗的已认证会话变得越来越有价值，因为它们可以绕过多因素身份验证提示、设备验证检查、登录警报和基于风险的身份验证系统。威胁行为者不再仅仅依赖被盗凭证进行未来的登录尝试，而是越来越多地寻求直接访问已认证的环境。

REMUS 的多个更新特别强调了恢复功能、代理兼容性以及在令牌恢复工作流程中对多种代理类型的支持。这些特性强烈表明，会话持久性是该恶意软件运行策略的核心组成部分。

该攻击活动还针对那些活跃会话价值极高的平台，包括 Discord、Steam、Riot Games 和 Telegram 关联服务。结合其强大的 cookie 收集和恢复功能，该恶意软件似乎并非仅仅为了窃取凭证，而是为了维护和维持已认证的访问权限。

密码管理器和浏览器存储成为主要攻击目标

该活动后期最重要的进展之一涉及与密码管理生态系统相关的浏览器端存储。到 2026 年 4 月，REMUS 运营商开始宣传与 Bitwarden、1Password、LastPass 和 IndexedDB 等浏览器存储机制相连接的功能。

现代密码管理器高度集中地存储着凭证、身份验证令牌和敏感账户信息，因此极易成为网络犯罪分子的目标。IndexedDB 的引用尤其值得关注，因为现代浏览器扩展程序和 Web 应用程序通常依赖本地浏览器存储来保存会话信息和应用程序数据。

虽然分析的帖子并没有独立证实密码库解密成功或密码管理器直接遭到入侵，但它们清楚地表明，REMUS 的开发已经转向收集与密码管理环境相关的浏览器端存储痕迹。

REMUS 报告凸显了现代网络犯罪的专业化趋势

REMUS 活动提供了一个具有启发性的例子，说明现代 MaaS 生态系统如何越来越像结构化的软件企业。

在所分析的地下通信系统中，运营商持续发布版本更新、故障排除指南、漏洞修复、功能增强、统计数据改进和运行可见性优化。提及工作人员、仪表盘、日志分类、装载机监控和管理可见性也表明存在一个多运营商环境，每个运营商都有专门的运营角色。

REMUS专业化MaaS架构的关键指标包括：

• 持续的功能开发和版本化更新周期
• 以客户为中心的支持和易用性改进
• 运营仪表盘、员工跟踪和统计数据监控
• 专为持久访问设计的会话恢复工作流程
• 浏览器端存储定位与密码管理生态系统相关

REMUS 反映了信息窃取行动的未来方向

REMUS 行动表明，现代信息窃取者正在迅速从基本的凭证窃取演变为全面的运营平台，这些平台旨在实现持久性、自动化、可扩展性和长期盈利。

短短几个月内，该攻击活动就从简单的恶意软件推广转型为成熟的恶意软件即服务 (MaaS) 生态系统，强调运行可靠性、认证会话保持和可扩展的数据收集能力。对令牌恢复、代理辅助会话恢复和浏览器端身份验证痕迹的日益重视，凸显了网络犯罪行动正在发生更广泛的转变，即从单纯窃取密码转向持续访问已认证的环境。

REMUS运动还引出了几个更广泛的影响：

• 经过身份验证的会话正变得比独立凭证更有价值。
• 浏览器端存储和密码管理器生态系统正日益成为攻击目标。
• MaaS 运营模式如今在结构和工作流程上与合法软件企业如出一辙。
• 运营可扩展性和持久性正成为网络犯罪集团的核心优先事项。

REMUS 行动最终强化了一个重要的网络安全现实：了解威胁行为者如何将恶意软件生态系统商业化、运营化和扩展，与分析恶意软件代码本身一样重要。