Remus Stealer

一種名為 REMUS 的新型資訊竊取程式因其快速發展、功能不斷擴展以及與專業惡意軟體即服務 (MaaS) 營運模式日益相似，在網路犯罪領域引起了廣泛關注。安全研究人員和惡意軟體分析師已經指出 REMUS 與廣為人知的 Lumma Stealer 有許多相似之處，尤其是在瀏覽器目標定位技術、憑證竊取機制和加密繞過能力方面。

對2026年2月12日至5月8日期間與REMUS行動相關的128個地下貼文進行分析，為了解該惡意軟體如何在網路犯罪群體中進行推廣、維護和運作提供了寶貴的見解。收集到的資料包括廣告、功能公告、更新日誌、客戶溝通記錄和營運討論，使研究人員能夠追蹤該平台的演變過程，並確定影響其發展的優先事項。

研究結果揭示的遠不止是一起簡單的竊取資訊活動。 REMUS 揭示了網路犯罪經濟中正在發生的更廣泛的轉變，惡意軟體營運越來越像合法軟體公司，透過持續更新、客戶支援、營運優化和長期獲利策略來實現這一轉變。

積極的開發週期標誌著出行即服務 (MaaS) 營運的成熟

REMUS行動展現出異常緊湊且極具侵略性的開發週期。該組織並沒有推出靜態的惡意軟體產品，而是在短短幾個月內持續發布改進版本、增強收集功能和管理功能。

2026年2月，該惡意軟體首次正式商業發布。早期推廣重點在於其易用性、竊取瀏覽器憑證、收集cookie、竊取Discord令牌、Telegram訊息推送以及日誌管理功能。行銷宣傳著重於其可靠性和易用性，聲稱該惡意軟體在配合有效的加密技術和中間伺服器基礎設施時，回撥成功率可達約90%。營運方也宣傳「全天候支援」和簡化的用戶體驗，顯示商業化和用戶體驗從一開始就是其核心優先事項。

2026年3月成為此攻擊活動最活躍的開發階段。在此期間，惡意軟體的功能不再局限於簡單的憑證竊取，而是擴展為更廣泛的營運平台。更新引入了令牌恢復功能、工作進程追蹤、統計資訊儀表板、重複日誌過濾、載入器可見性改進以及增強的Telegram分發工作流程。一些公告特別關注攻擊活動管理和營運監控，而不僅僅是資料竊取，這表明該惡意軟體的策略重心正在向可擴展性和可管理性轉移。

2026 年 4 月的更新進一步凸顯了對會話連續性和瀏覽器端身份驗證資訊的重視。此更新新增了 SOCKS5 代理相容性、反虛擬機器功能、針對遊戲平台的攻擊、增強的令牌恢復功能以及與密碼管理器相關的資訊收集機制。其中一項更新明確提及了針對與 1Password 和 LastPass 關聯的瀏覽器擴充功能的 IndexedDB 資訊收集，而其他公告則提到了與 Bitwarden 相關的搜尋。這些進展表明，攻擊者越來越重視保護已認證的存取權限，而不僅僅是收集使用者名稱和密碼。

到2026年5月初，該活動似乎已從快速擴張階段過渡到運行穩定階段。剩餘的更新主要集中在漏洞修復、最佳化、復原改進和管理完善方面，這表明該平台已進入維護和擴展階段。

超越 Lumma：REMUS 演變為商業網路犯罪服務

公開報導經常將 REMUS 描述為 Lumma Stealer 在技術上的重要升級版或變種。分析人士稱，該惡意軟體是一款 64 位元資訊竊取程序，與 Lumma 具有多項共同特徵，包括針對瀏覽器的憑證竊取、反虛擬機器檢查和加密繞過功能。

然而，地下通訊表明，該行動的影響遠不止於技術傳承。 REMUS 業者始終將該惡意軟體宣傳為一款由專業團隊維護的網路犯罪產品，並提供持續更新、營運改進、客戶支援和擴展的情報收集能力。其溝通方式與合法軟體開發環境極為相似，在合法軟體開發環境中，版本控制、故障排除和功能路線圖在客戶維繫方面發揮著至關重要的作用。

對交付成功率、運作可靠性和基礎設施優化的反覆強調，清楚地表明了其旨在建立潛在買家和合作夥伴信任的努力。 REMUS 不再只是一個獨立的惡意軟體可執行文件，而是日益將自身定位為一個可擴展的犯罪平台，旨在支持持續的網路犯罪活動。

會話竊取比傳統憑證收集更有價值

REMUS 行動中觀察到的最重要主題之一是對會話竊取和認證存取連續性的日益重視。

歷史上，許多資訊竊取程式主要集中在收集使用者名稱和密碼。然而，REMUS 卻始終優先考慮瀏覽器 cookie、身份驗證令牌、活動會話、代理輔助復原工作流程以及瀏覽器儲存的身份驗證資訊。從最早的宣傳資料開始，經過驗證的會話處理似乎就成了該惡意軟體的主要賣點之一。

這一趨勢反映了地下網路犯罪市場更廣泛的轉型。被盜的認證會話變得越來越有價值，因為它們可以繞過多因素身份驗證提示、設備驗證檢查、登入警報和基於風險的身份驗證系統。威脅行為者不再僅僅依賴被盜憑證進行未來的登入嘗試，而是越來越多地尋求直接存取已認證的環境。

REMUS 的多個更新特別強調了復原功能、代理相容性以及在令牌復原工作流程中對多種代理類型的支援。這些特性強烈表明，會話持久性是該惡意軟體運行策略的核心組成部分。

這項攻擊活動也針對那些活躍會話價值極高的平台，包括 Discord、Steam、Riot Games 和 Telegram 關聯服務。結合其強大的 cookie 收集和恢復功能，該惡意軟體似乎並非僅僅為了竊取憑證，而是為了維護和維持已認證的存取權限。

密碼管理器和瀏覽器儲存成為主要攻擊目標

該活動後期最重要的進展之一涉及與密碼管理生態系統相關的瀏覽器端儲存。到 2026 年 4 月，REMUS 業者開始宣傳與 Bitwarden、1Password、LastPass 和 IndexedDB 等瀏覽器儲存機制連結的功能。

現代密碼管理器高度集中地儲存憑證、身份驗證令牌和敏感帳戶訊息，因此極易成為網路犯罪分子的目標。 IndexedDB 的引用尤其值得關注，因為現代瀏覽器擴充功能和 Web 應用程式通常依賴本機瀏覽器儲存來保存會話資訊和應用程式資料。

雖然分析的貼文並沒有獨立證實密碼庫解密成功或密碼管理器直接遭到入侵，但它們清楚地表明，REMUS 的開發已經轉向收集與密碼管理環境相關的瀏覽器端儲存痕跡。

REMUS 報告凸顯了現代網路犯罪的專業化趨勢

REMUS 活動提供了一個啟發性的例子，說明現代 MaaS 生態系統如何越來越像結構化的軟體企業。

在所分析的地下通訊系統中，營運商持續發布版本更新、故障排除指南、漏洞修復、功能增強、統計資料改進和運行可見性最佳化。提及工作人員、儀錶板、日誌分類、裝載機監控和管理可見性也表明存在一個多運營商環境，每個運營商都有專門的運營角色。

REMUS專業化MaaS架構的關鍵指標包括：

• 持續的功能開發和版本化更新周期
• 以客戶為中心的支援與易用性改進
• 營運儀表板、員工追蹤和統計數據監控
• 專為持久存取設計的會話復原工作流程
• 瀏覽器端儲存定位與密碼管理生態系相關

REMUS 反映了資訊竊取行動的未來方向

REMUS 行動表明，現代資訊竊取者正在迅速從基本的憑證竊取演變為全面的營運平台，這些平台旨在實現持久性、自動化、可擴展性和長期盈利。

短短幾個月內，該攻擊活動就從簡單的惡意軟體推廣轉型為成熟的惡意軟體即服務 (MaaS) 生態系統，強調運行可靠性、認證會話保持和可擴展的資料收集能力。對令牌復原、代理輔助會話復原和瀏覽器端身分驗證痕跡的日益重視，凸顯了網路犯罪行動正在發生更廣泛的轉變，即從單純竊取密碼轉向持續存取已認證的環境。

REMUS運動也引出了幾個更廣泛的影響：

• 經過身份驗證的會話正變得比獨立憑證更有價值。
• 瀏覽器端儲存和密碼管理器生態系統正日益成為攻擊目標。
• MaaS 營運模式如今在結構和工作流程上與合法軟體企業如出一轍。
• 營運可擴展性和持久性正成為網路犯罪集團的核心優先事項。

REMUS 行動最終強化了一個重要的網路安全現實：了解威脅行為者如何將惡意軟體生態系統商業化、運作化和擴展，與分析惡意軟體程式碼本身一樣重要。