Die von Flare ausgewertete Aktivität lässt sich über mehrere Monate hinweg in deutlich erkennbare Phasen gliedern. Im Februar 2026 begann der kommerzielle Vorstoß: Frühe Beiträge stellten REMUS als zuverlässigen und einfach zu bedienenden Stealer vor und bewarben Diebstahl von Browser-Zugangsdaten, das Sammeln von Cookies, den Diebstahl von Discord-Tokens, die Auslieferung über Telegram sowie ein einfaches Log-Management. Der Ton war stark werblich. In einem der frühesten Beiträge erklärte der Betreiber: „Mit gutem Crypting und einem dedizierten Zwischenserver liegt die Rückmeldungsrate bei rund 90 Prozent." Eine andere Anzeige warb mit „24/7-Support" und einer Bedienung, die „so einfach ist, dass sogar ein Kind sie versteht".
Der März 2026 war die aktivste Entwicklungsphase. Der Betreiber führte eine Funktion zur Wiederherstellung von Tokens ein, erweiterte die Log-Verarbeitung und ergänzte Worker-Tracking, Statistikseiten, das Filtern doppelter Logs und verbesserte Telegram-Abläufe. Viele Beiträge drehten sich nicht um den Diebstahl selbst, sondern um betriebliche Übersicht und Kampagnen-Management. Ein Update fügte Worker-Spitznamen in Log-Tabellen und Statistiken ein, ein anderes verbesserte die Sichtbarkeit der Loader-Ausführung, damit Betreiber fehlgeschlagene Infektionen besser nachvollziehen konnten.
Im April 2026 verschob sich der Fokus klar in Richtung Sitzungskontinuität und browserseitiger Authentifizierungsartefakte. Der Betreiber ergänzte SOCKS5-Proxy-Unterstützung, eine verbesserte Token-Wiederherstellung, Anti-VM-Schalter, das gezielte Sammeln auf Gaming-Plattformen sowie Daten im Umfeld von Passwort-Managern. Ein Update hielt ausdrücklich fest: „IndexedDB-Sammlung für die Erweiterungen von 1Password und LastPass hinzugefügt." Ein weiterer Beitrag verwies auf Suchvorgänge im Zusammenhang mit Bitwarden. Bis Anfang Mai 2026 wirkte die Operation auf Feinschliff und Stabilität ausgerichtet: Die verbleibenden Beiträge nannten Verbesserungen bei der Wiederherstellung, Fehlerbehebungen und optimierte Datensammlung.
Ein zentrales Thema der Kampagne ist die wachsende Betonung des Sitzungsdiebstahls statt des reinen Abgreifens von Zugangsdaten. REMUS stellte von Beginn an Cookies, Token-Verarbeitung, Browser-Sitzungen, proxygestützte Wiederherstellung und den fortgesetzten Zugriff auf authentifizierte Konten als Kernwert heraus. Damit zielen Angreifer laut Flare zunehmend auf bereits authentifizierte Sitzungen, die Mehr-Faktor-Abfragen, Anmeldewarnungen, Geräteverifizierung und risikobasierte Authentifizierung umgehen können. Mehrere Updates verwiesen auf Verbesserungen bei der Wiederherstellung und die Kompatibilität mit mehreren Proxy-Typen; im Fokus standen auch Plattformen mit wertvollen aktiven Sitzungen wie Discord, Steam, Riot Games und Telegram-gebundene Umgebungen.
Die auffälligste Entwicklung der Spätphase betraf das Sammeln im Umfeld von Passwort-Managern. Bis April 2026 bewarb der Betreiber Unterstützung für Bitwarden, 1Password, LastPass und den Browser-Speicher IndexedDB. Flare betont jedoch, dass die Beiträge für sich genommen weder eine erfolgreiche Entschlüsselung von Tresoren noch eine direkte Kompromittierung der Passwort-Manager belegen — sie zeigen aber, dass sich die Entwicklung in Richtung browserseitiger Speichersammlung bewegte. Mehrere Beiträge deuten zudem über Verweise auf Worker, Statistik-Dashboards und Loader-Überwachung auf eine Umgebung mit mehreren Beteiligten hin.
Öffentliche Berichte beschrieben REMUS bislang vor allem als technisch bedeutsamen Nachfolger oder Variante des Lumma Stealer: ein 64-Bit-Infostealer mit mehreren Gemeinsamkeiten zu Lumma, darunter Anti-VM-Prüfungen, browserbezogener Diebstahl von Zugangsdaten und Techniken zur Umgehung der Browser-Verschlüsselung. Die Untergrunddaten legen laut Flare nahe, dass die Geschichte über die reine Malware-Abstammung hinausreicht.
Die Analyse stammt von Flare; der Beitrag ist als gesponserter Inhalt gekennzeichnet.