Remus स्टीलर
REMUS नामक एक नए पहचाने गए सूचना-चोर ने साइबर अपराध जगत में अपनी तीव्र विकास गति, बढ़ते फीचर सेट और पेशेवर मैलवेयर-एज़-ए-सर्विस (MaaS) ऑपरेशन से बढ़ती समानता के कारण काफी ध्यान आकर्षित किया है। सुरक्षा शोधकर्ताओं और मैलवेयर विश्लेषकों ने REMUS और व्यापक रूप से ज्ञात Lumma Stealer के बीच समानताएं पहले ही उजागर कर दी हैं, विशेष रूप से ब्राउज़र-लक्ष्यीकरण तकनीकों, क्रेडेंशियल चोरी तंत्र और एन्क्रिप्शन-बाईपास क्षमताओं में।
12 फरवरी से 8 मई, 2026 के बीच REMUS ऑपरेशन से जुड़े 128 भूमिगत पोस्टों की जांच से साइबर अपराध समुदायों के भीतर मैलवेयर के विपणन, रखरखाव और संचालन के तरीके के बारे में बहुमूल्य जानकारी मिलती है। एकत्रित सामग्री में विज्ञापन, फीचर घोषणाएं, अपडेट लॉग, ग्राहक संचार और परिचालन संबंधी चर्चाएं शामिल थीं, जिससे शोधकर्ताओं को प्लेटफॉर्म के विकास का पता लगाने और इसके विकास को आकार देने वाली प्राथमिकताओं की पहचान करने में मदद मिली।
इन निष्कर्षों से पता चलता है कि यह सिर्फ एक सूचना चोरी अभियान से कहीं अधिक है। REMUS साइबर अपराध अर्थव्यवस्था में हो रहे एक व्यापक परिवर्तन को दर्शाता है, जहां मैलवेयर ऑपरेशन निरंतर अपडेट, ग्राहक सहायता, परिचालन अनुकूलन और दीर्घकालिक मुद्रीकरण रणनीतियों के माध्यम से वैध सॉफ्टवेयर कंपनियों की तरह दिखने लगे हैं।
विषयसूची
आक्रामक विकास चक्र परिपक्व MaaS संचालन का संकेत देता है
REMUS ऑपरेशन ने एक असामान्य रूप से संक्षिप्त और बेहद आक्रामक विकास समयरेखा प्रदर्शित की। एक स्थिर मैलवेयर उत्पाद को बढ़ावा देने के बजाय, संचालकों ने केवल कुछ महीनों के दौरान लगातार सुधार, संग्रह संवर्द्धन और प्रबंधन सुविधाएँ जारी कीं।
फरवरी 2026 में इस मैलवेयर को पहली बार व्यावसायिक रूप से लॉन्च किया गया। शुरुआती प्रचार में इसके उपयोग में आसानी, ब्राउज़र क्रेडेंशियल की चोरी, कुकी संग्रह, डिस्कॉर्ड टोकन की चोरी, टेलीग्राम डिलीवरी और लॉग प्रबंधन जैसी सुविधाओं पर ज़ोर दिया गया। मार्केटिंग में विश्वसनीयता और सुलभता पर विशेष बल दिया गया, साथ ही यह दावा भी किया गया कि प्रभावी क्रिप्टिंग और मध्यवर्ती सर्वर इंफ्रास्ट्रक्चर के साथ उपयोग किए जाने पर मैलवेयर लगभग '90%' सफल कॉलबैक दर हासिल करता है। ऑपरेटरों ने '24/7 सहायता' और सरलीकृत उपयोगिता का भी प्रचार किया, जिससे यह संकेत मिलता है कि शुरुआत से ही व्यावसायीकरण और ग्राहक अनुभव उनकी मुख्य प्राथमिकताएँ थीं।
मार्च 2026 इस अभियान का सबसे सक्रिय विकास चरण बन गया। इस दौरान, मैलवेयर ने केवल क्रेडेंशियल चोरी तक सीमित रहने के बजाय एक व्यापक परिचालन मंच विकसित किया। अपडेट्स में रिस्टोर-टोकन क्षमताएं, वर्कर ट्रैकिंग, सांख्यिकी डैशबोर्ड, डुप्लिकेट लॉग फ़िल्टरिंग, लोडर विज़िबिलिटी में सुधार और उन्नत टेलीग्राम डिलीवरी वर्कफ़्लो शामिल किए गए। कई घोषणाओं में डेटा चोरी के बजाय अभियान प्रबंधन और परिचालन निगरानी पर विशेष ध्यान दिया गया, जो स्केलेबिलिटी और प्रशासन की ओर एक रणनीतिक बदलाव का संकेत देता है।
अप्रैल 2026 में सेशन की निरंतरता और ब्राउज़र-साइड प्रमाणीकरण पर और भी अधिक ज़ोर दिया गया। इस ऑपरेशन में SOCKS5 प्रॉक्सी संगतता, वर्चुअल मशीन रोधी कार्यक्षमता, गेमिंग प्लेटफ़ॉर्म को लक्षित करना, टोकन पुनर्स्थापन में सुधार और पासवर्ड मैनेजर से संबंधित संग्रह तंत्र जोड़े गए। एक अपडेट में स्पष्ट रूप से 1Password और LastPass से जुड़े ब्राउज़र एक्सटेंशन को लक्षित करने वाले IndexedDB संग्रह का उल्लेख किया गया, जबकि अन्य घोषणाओं में Bitwarden से संबंधित खोजों का जिक्र किया गया। इन घटनाक्रमों ने केवल उपयोगकर्ता नाम और पासवर्ड एकत्र करने के बजाय प्रमाणित पहुँच को संरक्षित करने पर बढ़ते फोकस को उजागर किया।
मई 2026 की शुरुआत तक, अभियान तीव्र विस्तार से परिचालन स्थिरीकरण की ओर बढ़ता हुआ प्रतीत हुआ। शेष अपडेट मुख्य रूप से बग फिक्स, अनुकूलन प्रयासों, पुनर्स्थापना सुधारों और प्रबंधन परिष्करणों पर केंद्रित थे, जिससे संकेत मिलता है कि प्लेटफ़ॉर्म रखरखाव और स्केलेबिलिटी चरण में प्रवेश कर चुका था।
लुम्मा से परे: REMUS एक वाणिज्यिक साइबर अपराध सेवा के रूप में विकसित हो रहा है
सार्वजनिक रिपोर्टों में अक्सर REMUS को Lumma Stealer का तकनीकी रूप से महत्वपूर्ण उत्तराधिकारी या प्रकार बताया गया है। विश्लेषकों ने इस मैलवेयर को 64-बिट सूचना-चोर के रूप में वर्णित किया है जो Lumma के साथ कई समानताएं रखता है, जिनमें ब्राउज़र-केंद्रित क्रेडेंशियल चोरी, एंटी-वीएम जांच और एन्क्रिप्शन बाईपास कार्यक्षमता शामिल हैं।
हालांकि, गुप्त संचार से पता चलता है कि यह ऑपरेशन केवल तकनीकी पृष्ठभूमि तक ही सीमित नहीं था। REMUS संचालकों ने लगातार इस मैलवेयर को एक पेशेवर रूप से विकसित साइबर अपराध उत्पाद के रूप में प्रचारित किया, जिसे निरंतर अपडेट, परिचालन सुधार, ग्राहक सहायता और विस्तारित डेटा संग्रह क्षमताओं का समर्थन प्राप्त था। संचार शैली वैध सॉफ़्टवेयर विकास परिवेशों के समान थी, जहाँ वर्ज़निंग, समस्या निवारण और फ़ीचर रोडमैप ग्राहक प्रतिधारण में महत्वपूर्ण भूमिका निभाते हैं।
डिलीवरी की सफलता दर, परिचालन विश्वसनीयता और बुनियादी ढांचे के अनुकूलन पर बार-बार जोर देने से संभावित खरीदारों और सहयोगियों के बीच विश्वास बनाने का स्पष्ट प्रयास प्रदर्शित हुआ। एक स्वतंत्र मैलवेयर निष्पादन योग्य के रूप में कार्य करने के बजाय, REMUS ने खुद को एक ऐसे स्केलेबल आपराधिक मंच के रूप में स्थापित किया जो निरंतर साइबर आपराधिक गतिविधियों को बढ़ावा देने के लिए डिज़ाइन किया गया था।
सेशन चोरी पारंपरिक क्रेडेंशियल संग्रहण से कहीं अधिक मूल्यवान हो गई है।
आरईएमयूएस अभियान के दौरान देखे गए सबसे महत्वपूर्ण विषयों में से एक सत्र की चोरी और प्रमाणित पहुंच की निरंतरता पर बढ़ता जोर था।
ऐतिहासिक रूप से, कई सूचना चुराने वाले मैलवेयर मुख्य रूप से उपयोगकर्ता नाम और पासवर्ड चुराने पर ध्यान केंद्रित करते थे। हालांकि, REMUS ने लगातार ब्राउज़र कुकीज़, प्रमाणीकरण टोकन, सक्रिय सत्र, प्रॉक्सी-सहायता प्राप्त पुनर्स्थापना कार्यप्रवाह और ब्राउज़र में संग्रहीत प्रमाणीकरण दस्तावेज़ों को प्राथमिकता दी। शुरुआती प्रचार सामग्री से ही, प्रमाणित सत्र प्रबंधन मैलवेयर के प्रमुख विक्रय बिंदुओं में से एक प्रतीत होता था।
यह प्रवृत्ति भूमिगत साइबर अपराध बाजारों में व्यापक परिवर्तन को दर्शाती है। चोरी किए गए प्रमाणित सत्र तेजी से मूल्यवान होते जा रहे हैं क्योंकि वे बहु-कारक प्रमाणीकरण संकेतों, डिवाइस सत्यापन जांच, लॉगिन अलर्ट और जोखिम-आधारित प्रमाणीकरण प्रणालियों को दरकिनार कर सकते हैं। भविष्य में लॉगिन प्रयासों के लिए केवल चोरी किए गए क्रेडेंशियल्स पर निर्भर रहने के बजाय, हमलावर तेजी से पहले से प्रमाणित वातावरण तक सीधी पहुंच प्राप्त करने का प्रयास कर रहे हैं।
REMUS के कई अपडेट में टोकन रिस्टोरेशन वर्कफ़्लो के दौरान रिस्टोर फ़ंक्शनैलिटी, प्रॉक्सी कम्पैटिबिलिटी और कई प्रॉक्सी प्रकारों के लिए समर्थन पर विशेष रूप से ज़ोर दिया गया था। ये विशेषताएं स्पष्ट रूप से संकेत देती हैं कि सेशन परसिस्टेंस मैलवेयर की परिचालन रणनीति का एक केंद्रीय घटक था।
इस अभियान ने उन प्लेटफॉर्मों को भी निशाना बनाया जहां सक्रिय सत्रों का विशेष महत्व होता है, जिनमें डिस्कोर्ड, स्टीम, रायट गेम्स और टेलीग्राम से जुड़ी सेवाएं शामिल हैं। व्यापक कुकी संग्रह और पुनर्स्थापना कार्यक्षमता के साथ, यह मैलवेयर न केवल क्रेडेंशियल चुराने के लिए, बल्कि प्रमाणित पहुंच को बनाए रखने और उसे सक्रिय करने के लिए भी तैयार किया गया प्रतीत होता है।
पासवर्ड मैनेजर और ब्राउज़र स्टोरेज प्रमुख लक्ष्य बन गए हैं
इस अभियान के अंतिम चरण के सबसे महत्वपूर्ण घटनाक्रमों में से एक पासवर्ड-प्रबंधन प्रणालियों से जुड़े ब्राउज़र-साइड स्टोरेज से संबंधित था। अप्रैल 2026 तक, REMUS ऑपरेटर Bitwarden, 1Password, LastPass और IndexedDB ब्राउज़र स्टोरेज तंत्रों से जुड़ी कार्यक्षमता का विज्ञापन कर रहे थे।
आधुनिक पासवर्ड मैनेजर क्रेडेंशियल, प्रमाणीकरण टोकन और संवेदनशील खाता जानकारी के अत्यधिक सघन भंडार होते हैं, जिससे वे साइबर अपराधियों के लिए आकर्षक लक्ष्य बन जाते हैं। IndexedDB संदर्भ विशेष रूप से महत्वपूर्ण हैं क्योंकि आधुनिक ब्राउज़र एक्सटेंशन और वेब एप्लिकेशन अक्सर सत्र की जानकारी और एप्लिकेशन डेटा को बनाए रखने के लिए स्थानीय ब्राउज़र स्टोरेज पर निर्भर करते हैं।
हालांकि विश्लेषण किए गए पोस्ट स्वतंत्र रूप से पासवर्ड वॉल्ट के सफल डिक्रिप्शन या पासवर्ड मैनेजरों के प्रत्यक्ष उल्लंघन की पुष्टि नहीं करते हैं, लेकिन वे स्पष्ट रूप से प्रदर्शित करते हैं कि REMUS का विकास पासवर्ड-प्रबंधन वातावरण से जुड़े ब्राउज़र-साइड स्टोरेज आर्टिफैक्ट्स को एकत्र करने की ओर स्थानांतरित हो गया था।
REMUS ने आधुनिक साइबर अपराध के व्यवसायीकरण पर प्रकाश डाला है।
REMUS अभियान इस बात का एक स्पष्ट उदाहरण प्रस्तुत करता है कि कैसे आधुनिक MaaS पारिस्थितिकी तंत्र तेजी से संरचित सॉफ्टवेयर उद्यमों से मिलते-जुलते होते जा रहे हैं।
विश्लेषण किए गए भूमिगत संचार माध्यमों में, ऑपरेटरों ने लगातार संस्करणित अपडेट, समस्या निवारण मार्गदर्शन, बग फिक्स, फीचर संवर्द्धन, सांख्यिकी सुधार और परिचालन दृश्यता परिष्करण प्रकाशित किए। श्रमिकों, डैशबोर्ड, लॉग वर्गीकरण, लोडर निगरानी और प्रबंधन दृश्यता के संदर्भ भी विशिष्ट परिचालन भूमिकाओं वाले बहु-ऑपरेटर वातावरण की उपस्थिति का संकेत देते हैं।
REMUS की पेशेवर MaaS संरचना के प्रमुख संकेतकों में निम्नलिखित शामिल थे:
- निरंतर फीचर विकास और संस्करणित अपडेट चक्र
- ग्राहक-केंद्रित सहायता और उपयोगिता में सुधार
- परिचालन डैशबोर्ड, कर्मचारी ट्रैकिंग और सांख्यिकी निगरानी
- निरंतर पहुंच के लिए डिज़ाइन किए गए सत्र पुनर्स्थापना वर्कफ़्लो
- ब्राउज़र-साइड स्टोरेज टारगेटिंग पासवर्ड-प्रबंधन इकोसिस्टम से जुड़ी हुई है
REMUS सूचना चोरी करने वालों के संचालन की भविष्य की दिशा को दर्शाता है
आरईएमयूएस ऑपरेशन यह दर्शाता है कि आधुनिक सूचना चोर बुनियादी क्रेडेंशियल चोरी से आगे बढ़कर व्यापक परिचालन प्लेटफार्मों में तेजी से विकसित हो रहे हैं, जो निरंतरता, स्वचालन, स्केलेबिलिटी और दीर्घकालिक मुद्रीकरण के लिए बनाए गए हैं।
महज कुछ महीनों में, यह अभियान सीधे-सादे मैलवेयर प्रचार से एक परिपक्व MaaS इकोसिस्टम में परिवर्तित हो गया, जो परिचालन विश्वसनीयता, प्रमाणित सत्र संरक्षण और स्केलेबल डेटा संग्रह क्षमताओं पर जोर देता है। टोकन पुनर्स्थापन, प्रॉक्सी-सहायता प्राप्त सत्र पुनर्प्राप्ति और ब्राउज़र-साइड प्रमाणीकरण उपकरणों पर बढ़ता ध्यान साइबर अपराध संचालन में एक व्यापक बदलाव को रेखांकित करता है, जो केवल पासवर्ड चोरी से हटकर प्रमाणित वातावरण तक निरंतर पहुंच बनाए रखने की ओर अग्रसर है।
आरईएमयूएस अभियान से कई व्यापक निहितार्थ सामने आते हैं:
- प्रमाणित सत्र अब स्टैंडअलोन क्रेडेंशियल्स की तुलना में अधिक मूल्यवान होते जा रहे हैं।
- ब्राउज़र-साइड स्टोरेज और पासवर्ड-मैनेजर इकोसिस्टम को तेजी से निशाना बनाया जा रहा है।
- MaaS संचालन अब संरचना और कार्यप्रणाली में वैध सॉफ्टवेयर व्यवसायों के समान हैं।
- साइबर अपराधी समूहों के लिए परिचालन क्षमता और निरंतरता केंद्रीय प्राथमिकताएं बनती जा रही हैं।
आरईएमयूएस अभियान अंततः एक महत्वपूर्ण साइबर सुरक्षा वास्तविकता को पुष्ट करता है: यह समझना कि खतरा पैदा करने वाले तत्व मैलवेयर पारिस्थितिकी तंत्र का व्यवसायीकरण, संचालन और विस्तार कैसे करते हैं, मैलवेयर कोड का विश्लेषण करने जितना ही महत्वपूर्ण होता जा रहा है।
