ここ数カ月間、REMUS として知られる新しいデータ窃取マルウェアがサイバー犯罪界隈に出現しており、セキュリティ研究者やマルウェア アナリストの注目を集めています。ここ数カ月間に発表されたいくつかの技術分析では、ブラウザのターゲット設定メカニズム、資格情報盗難機能などを含む、マルウェアの機能、インフラストラクチャ、Lumma Stealer との類似性に焦点が当てられています。
しかし、マルウェア自体の背後で行われている地下活動については、あまり注目されていません。
2026 年 2 月 12 日から 5 月 8 日までの REMUS の地下活動に関連する 128 件の投稿を Flare の研究者が分析した結果、このグループが地下コミュニティ内でどのようにマルウェアを導入、開発、運用したかについての貴重な調査が得られました。この調査では、プレーヤーの広告、更新ログ、機能の発表、運営に関する議論、顧客とのコミュニケーションを分析することで、運営が時間の経過とともにどのように進化し、どのような優先事項がその開発を推進したかをマッピングするのに役立ちます。
この調査結果は、窃盗者の能力が急速に進化しているだけでなく、商業化、運用の拡張性、セッションの盗難、およびパスワード マネージャーの標的化への注目が高まっていることも明らかにしています。より広範には、この活動は、最新のサービスとしてのマルウェア (MaaS) の運用が、継続的な開発サイクル、運用の改良、ユーザビリティ、永続性、長期的な収益化を向上させるために設計された機能など、構造化されたソフトウェア ビジネスにどのように似ているかについての洞察を提供します。
地下活動は非常に圧縮されているが積極的な開発サイクルを明らかにしており、オペレーターはわずか数か月の間に機能の更新、運用の改善、新しい収集機能を繰り返しリリースしています。
これらの投稿では、静的なマルウェアを公開するのではなく、ほぼリアルタイムで進化するアクティブに維持されている MaaS プラットフォームを紹介しています。
-
2026年2月 最初の商業的なプッシュをマークしました。初期の投稿では、REMUS を信頼性が高く使いやすい泥棒として確立し、ブラウザー資格情報の盗難、Cookie 収集、Discord トークンの盗難、テレグラム配信、および基本的なログ管理を促進することに焦点を当てていました。その口調は非常に宣伝的で顧客志向でした。最も初期の投稿の 1 つで、オペレーターは次のように主張しました。適切な暗号化と専用のプロキシ サーバーを使用すると、コールバック率は最大 90% になります。」
別の投稿では、このマルウェアが「年中無休のサポート「そして機能性」子供でも理解できるほどシンプルです「最初からユーザビリティと商用化を重視しました。
-
2026年3月 キャンペーンの最も活発な開発期間を表していました。この段階で、オペレーターはリカバリ トークン機能、拡張ログ処理、従業員追跡、統計シート、重複ログ フィルタリング、および改善された Telegram 配信ワークフローを導入しました。多くの投稿は、盗難そのものではなく、運用の可視化とキャンペーン管理に焦点を当てていました。 1 つの更新ではログ テーブルと統計ビューにワーカー エイリアスが追加され、もう 1 つの更新ではローダー実行の可視性が向上し、オペレーターが失敗した感染をよりよく理解できるようになりました。この変更は、REMUS が単なるマルウェア実行可能ファイルではなく、より広範なオペレーティング プラットフォームに進化したことを示しています。
-
2026年4月 セッションの継続性とブラウザ側の認証アーティファクトに向けた明確な動きを示します。オペレーターは、SOCKS5 プロキシ サポート、改善されたトークン回復、アンチ VM スワッピング、ゲーム プラットフォームのターゲット設定、およびパスワード マネージャー関連の収集を追加しました。あるアップデートでは具体的に次のように述べられていました。1Password および LastPass 拡張機能用の IndexedDB コレクションを追加しました。」
Bitwarden に関連する別の関連検索。投稿では、スタンドアロンの認証情報だけでなく、認証されたセッション、ワークフローの再構築、ブラウザ側のストレージがますます強調されています。
-
2026年5月初旬まで動作の洗練と動作の安定性を重視しているようです。データセット内の残りの投稿は、回復の改善、バグ修正、収集の最適化、配信および管理機能の継続的な調整に対処しており、オペレーターが急速な機能拡張からプラットフォームの安定化に移行していることを示しています。
リーマスとルマとのつながり
まだ顧客でない場合は、無料トライアルにサインアップしてアクセスしてください。
一般の報道では主に、Lumma Stealer の後継または技術的に重要な亜種として REMUS に焦点が当てられてきました。研究者らは、このマルウェアは、VM に対するプローブ、ブラウザーをターゲットとした資格情報の盗難、ブラウザーの暗号化バイパス技術など、Lumma と複数の類似点を共有する 64 ビット データ スティーラーであると説明しています。
この技術的な重複は重要ですが、地下データは、この話がマルウェアの系統をはるかに超えて広がっていることを示しています。
分析された投稿では、攻撃者がマルウェアを中心とした商用サイバー犯罪製品を積極的に構築していることがわかります。この運営では、正規のソフトウェア開発サイクルによく似た方法で、更新、顧客サポート、パフォーマンスの向上、および追加の収集機能を繰り返し推進してきました。
ある初期の投稿で、この運営者は、適切な暗号化とプロキシ サーバーを組み合わせることで、マルウェアの配信成功率は約 90% に達する可能性があると主張しました。この文言は、運用の信頼性について潜在的な購入者を安心させることを明らかに意図したものです。
REMUS のような情報窃盗犯は、資格情報を収集するだけでなく、Cookie、ブラウザー トークン、MFA を完全にバイパスする認証されたセッションをキャプチャします。
Flare は、ダーク Web マーケットと Telegram チャネルにわたる何百万もの窃盗ログを継続的に追跡するため、攻撃者がユーザーに対して使用する前に、公開されたセッションと認証情報を特定できます。
無料であなたの露出を発見してください。
セッション盗難と Cookie の価値の上昇に向けて
まだ顧客でない場合は、無料トライアルにサインアップしてアクセスしてください。
REMUS キャンペーンの最も特徴的なテーマの 1 つは、従来の信用収集だけではなく、出会いを盗むことにますます重点が置かれていることです。
歴史的に、多くのデータ窃盗者は主にユーザー名とパスワードに焦点を当ててきました。
ただし、REMUS は、Cookie 収集、トークン処理、ブラウザ セッション、プロキシ支援リカバリ、認証されたアクセスの継続性を繰り返し強調してきました。キャンペーンの初期段階から、マルウェアはブラウザ セッションと認証アーティファクトを戦略の中心として推進しました。
これは、地下経済における広範な変化を反映しており、盗まれた Cookie や認証されたセッションがますます高価値の商品になりつつあります。攻撃者は、資格情報を盗んで後でログインを試行するのではなく、MFA ガイドライン、ログイン アラート、デバイス認証、およびリスクベースの認証システムをバイパスできる、すでに認証されたセッションを探すことが増えています。
複数の REMUS アップデートでは、「回復」の改善、プロキシの互換性、トークン回復ワークフロー中の複数のプロキシ タイプのサポートに対処しており、オペレータが永続性を主要なセールス ポイントと考えていることを強く示唆しています。
いくつかのアップデートでは、Discord、Steam、Riot Games、Telegram にリンクされた環境など、アクティブなセッションが重要な価値をもたらすプラットフォームにも焦点を当てました。収集および Cookie とリカバリの機能を組み合わせると、このキャンペーンは資格情報を盗むだけでなく、認証されたアクセス自体を保存およびアクティブ化するように設計されているように見えます。
パスワードマネージャーが価値の高いターゲットになる
キャンペーンで観察された後期段階での最も重要な開発には、パスワード マネージャーに関連した収集が含まれていました。 2026 年 4 月まで、このオペレーターは Bitwarden ブラウザ ストレージ、1Password、LastPass、IndexedDB に関連するサポートを宣伝していました。パスワード マネージャーは、貴重な資格情報と認証資料の集中リポジトリとしての役割を果たしています。
最近のブラウザ アプリケーションとプラグインは、アプリケーション データとセッション情報を維持するためにネイティブ ブラウザ ストレージ メカニズムを使用することが多いため、IndexedDB への参照は特に重要です。
これらの投稿は、ボールトのクラッキングが成功したことや、パスワード マネージャー自体が直接侵害されたことを証明するものではありません。
ただし、これらは、REMUS の開発がパスワード管理エコシステムに関連するブラウザ側のストレージ収集に向かっていることを明確に示しています。
REMUS の背後にある運用の成熟度
この地下活動は、現代の MaaS エコシステムがいかに正規のソフトウェア ビジネスに似てきているかを示しています。
分析された投稿全体にわたって、オペレーターはバージョン更新、バグ修正、機能拡張、トラブルシューティングの改善、統計の改善、運用上の可視性の改善を繰り返しリリースしてきました。
いくつかの投稿では、従業員の紹介、統計ダッシュボード、管理の可視性、ローダーの監視、ログの分類を通じてマルチオペレーター環境を示唆しています。この運用構造は、マルウェア開発者が開発、インフラストラクチャ、配信、収益化を専門的な役割に分離する傾向が強まっている、より広範な MaaS トレンドと一致しています。
最終的な考え
REMUS キャンペーンは、現代のデータ盗難行為が単純な資格情報の盗難をはるかに超えてどのように進化しているかを明らかにします。
Flare のアナリストが分析した地下活動は、わずか数か月のうちに、基本的なマルウェアの推進から、運用の信頼性、運用の永続性、スケーラブルなデータ収集に重点を置いた構造化された MaaS エコシステムの開発への明らかな移行を示しました。
おそらく最も注目に値するのは、このキャンペーンで、地下経済における認証セッションとブラウザ側の認証アーティファクトの重要性が高まっていることを強調したことです。トークンの回復、プロキシ支援セッションの回復、およびパスワード マネージャー関連の収集が改めて重視されるようになったのは、サイバー犯罪活動が単純なパスワードの盗難から、すでに認証された環境への直接アクセスの維持に向けて広範に移行していることを反映しています。
この調査結果は、ますます重要な現実を裏付けています。情報窃盗者は、永続化、自動化、長期的な収益化ワークフローをサポートする成熟した運用プラットフォームに急速に進化しています。これらのエコシステムが専門化を続ける中、脅威アクターがマルウェアを実行および取引する方法を理解することは、マルウェア自体を分析することと同じくらい重要になる可能性があります。
無料トライアルにサインアップして詳細をご覧ください。
Flare がスポンサーおよび執筆。
