Im Geschäftsmodell von DaaS trennen sich zwei Rollen: Der Betreiber entwickelt und pflegt die Drainer-Infrastruktur, während Partner („Affiliates") für den Zustrom an Opfern sorgen. Deren Aufgabe ist es, Datenverkehr über Phishing-Links, gefälschte Webseiten, gekaperte Social-Media-Konten, Werbung, Spam oder Direktnachrichten zu erzeugen. Der Betreiber kümmert sich um die Wallet-Interaktion, die Transaktionslogik, Benachrichtigungen und den eigentlichen Abfluss der Vermögenswerte.
Die ausgewerteten Lucifer-Daten belegen dieses Modell deutlich. In einem Werbebeitrag erklärt der Akteur, dass Partner „Datenverkehr über Phishing-Links, gefälschte Webseiten und ähnliche Methoden" liefern, während der Dienst „Signaturen, Freigaben und Token-Übertragungen" verwaltet. Lucifer Drainer wird darin als „professionelle Lösung" mit ERC20-Unterstützung, Permit2, Off-Chain-Signaturen, Umgehung von Wallet-Sicherungen, Multichain-Fähigkeit und fortlaufenden Updates beworben.
Laut Flare verkaufen die Betreiber keinen einmaligen Malware-Baukasten, sondern die Teilnahme an einer Plattform. Im Telegram-Kanal heißt es wiederholt, die Software sei „nicht zu verkaufen"; die Betreiber behalten 20 Prozent Provision pro erfolgreichem „Treffer" ein. Im Mai 2025 schrieb der Kanal, man verkaufe oder vermiete die Software nicht und teile lediglich „20 Prozent pro Treffer". Damit ähnelt das Vorgehen eher dem Affiliate-Modell von Ransomware als alten Phishing-Kits.
Der Kanal entwickelte sich öffentlich zu einer strukturierten DaaS-Plattform. Im März 2025 kündigte die Gruppe die Version 6.6.6 an, mit ERC20-Unterstützung, Permit2-Missbrauch, Off-Chain-Signaturen, Telegram-Benachrichtigungen, Umgehung von Wallet-Sicherungen und Multichain-Funktionalität. In der Folge glich der Kanal eher einem Software-Entwicklungs-Feed: angekündigt wurden Fehlerbehebungen, Wallet-Kompatibilität, Telegram-Browser-Unterstützung sowie Verbesserungen bei Bereitstellung und Hosting.
Besonders auffällig war eine Funktion zum Klonen von Webseiten, mit der Partner Phishing-Seiten kopieren und ZIP-Dateien mit dem aktuellen Lucifer-Code erhalten konnten. Später kamen „Zero Config"-Abläufe hinzu, bei denen Partner statische Dateien hochladen, automatisch einsatzfertige Phishing-Pakete erzeugen und Infrastruktur mit minimalem Aufwand ausrollen konnten — was die technische Einstiegshürde deutlich senkte.
Die Daten zeigen zudem, dass Lucifer aktiv in Communities warb, in denen auch andere Drainer-Marken wie Inferno, Angel, Venom, Nova, Ghost, Medusa, Vega und Monkey diskutiert wurden. Wiederkehrendes Thema war „Traffic": Partner brauchten vor allem Opfer und Phishing-Reichweite, weniger technisches Können. Komplette Anfänger seien jedoch nicht willkommen.
Auch operative Widerstandsfähigkeit zeigt sich: Im August 2025 wurden die Telegram-Bots der Gruppe gesperrt, woraufhin Nutzer angewiesen wurden, neue Bots mit Administratorrechten anzulegen. Im November 2025 wurde eine bei Google Firebase gehostete Dokumentationsdomain nach Forschungsberichten gesperrt; die Gruppe verlagerte die Dokumentation daraufhin ins InterPlanetary File System (IPFS), ein dezentrales Peer-to-Peer-Protokoll. Ähnliches beschreibt Check Point in seiner Untersuchung zum „Inferno Drainer", der sich trotz Wallet-Warnungen, Sperrlisten und Anti-Phishing-Maßnahmen weiter anpasste.
Der Missbrauch der Autorisierungsmechanismen Permit und Permit2 ist besonders attraktiv, weil sie Token-Übertragungen über signierte Berechtigungen statt offensichtlicher Direktüberweisungen ermöglichen — die Interaktion wirkt für Nutzer dadurch weniger alarmierend.
