Der REMUS-Infostealer markiert einen Wendepunkt in der Evolution von Cybercrime-Malware. Während Sicherheitsforscher bislang vor allem die technischen Ähnlichkeiten zu Lumma Stealer analysierten, zeigt eine tiefere Untersuchung der Underground-Aktivitäten ein weit besorgniserregenderes Bild: Cyberkriminelle bauen eine strukturierte, professionalisierte MaaS-Plattform auf, die sich kontinuierlich weiterentwickelt und optimiert.
Die Entwicklung verlief in vier charakteristischen Phasen. Im Februar 2026 startete die kommerzielle Bewerbung mit grundlegenden Features wie Browser-Credential-Diebstahl und Discord-Token-Raub. Die Betreiber beworbenen die Malware aggressiv mit Versprechungen wie “einfach genug, dass selbst ein Kind es versteht” und “90% Callback-Rate” – klassische Marketing-Sprache für potenzielle Käufer. Die Botschaft war klar: Dies sollte ein zuverlässiges, benutzerfreundliches Produkt sein.
Die intensive Entwicklungsphase folgte im März 2026. Der Fokus verschob sich von reinem Datenraub zu Operational-Excellence: Restore-Token-Funktionalität, Worker-Tracking, Statistik-Seiten, Duplicate-Filtering und verbesserte Telegram-Deliveries. Die Betreiber bauten ein echtes Verwaltungs-Dashboard auf – Werkzeuge für andere Kriminelle, ihre Kampagnen zu überwachen und zu optimieren.
Im April 2026 zeigte sich die strategische Neuausrichtung am deutlichsten: REMUS verschob seinen Fokus von Passwort-Diebstahl zu Session-Persistierung. Neue Features zielten auf IndexedDB-Storage von 1Password, LastPass und Bitwarden ab. Dies ist technisch bedeutsam, denn gestohlene Sessions und Authentifizierungs-Tokens umgehen Mehrfaktor-Authentifizierung komplett – sie sind damit wertvoller als bloße Passwörter. SOCKS5-Proxy-Support ermöglichte es, gestohlene Sessions zu restore und wiederzuverwenden.
Bis Mai 2026 konzentrierte sich die Operation auf Stabilisierung und Bug-Fixes – typisches Verhalten einer in Produktion gegangenen Software-Plattform.
Die gefährliche Professionalisierung der Cyberkriminalität
Was REMUS besonders bemerkenswert macht, ist nicht die Malware selbst – es ist das Geschäftsmodell dahinter. Die Underground-Posts zeigen versioned Updates, Feature-Roadmaps, Kundenunterstützung und sogar Multi-Operator-Strukturen mit spezialisierten Rollen für Entwicklung, Infrastruktur und Monetarisierung. Dies sind die Hallmarken legitimer Software-Entwicklung, nur eben für Cybercriminalität.
Der Schwerpunkt auf Session-Diebstahl statt Passwort-Diebstahl spiegelt ein tieferes Verständnis moderner IT-Infrastruktur wider. Authentifizierte Cookies und Tokens sind in der Praxis oft wertvoller als Passwörter – sie ermöglichen direkten Zugang, ohne Login-Prompts, Geräte-Verifikation oder Risk-Based-Authentication zu triggerieren.
Implikationen für Deutschland
Für deutsche Unternehmen und Privatnutzer hat dies konkrete Konsequenzen. Jede Kompromittierung durch REMUS ist eine Datenverletzung mit Meldepflicht nach DSGVO (BfDI). Unternehmen müssen betroffene Personen benachrichtigen; Bußgelder können bis 4% des Jahresumsatzes erreichen. Das BSI empfiehlt verstärkte Endpoint-Protection, regelmäßige Sicherheits-Updates und die Überwachung verdächtiger Browser-Aktivitäten. Password-Manager-Nutzer sollten beachten: Die Sicherheit des Browsers ist nun Teil der Password-Manager-Sicherheit.
REMUS zeigt, wohin sich moderne Infostealers entwickeln: Sie sind nicht mehr einfache Malware, sondern professionelle Cybercrime-Plattformen, die Persistence, Automatisierung und langfristige Monetarisierung ermöglichen.