Remus Kẻ Trộm

Một phần mềm đánh cắp thông tin mới được xác định có tên REMUS đã thu hút sự chú ý đáng kể trong toàn bộ hệ sinh thái tội phạm mạng do tốc độ phát triển nhanh chóng, bộ tính năng ngày càng mở rộng và sự giống nhau ngày càng tăng với hoạt động phần mềm độc hại dưới dạng dịch vụ (MaaS) chuyên nghiệp. Các nhà nghiên cứu bảo mật và các nhà phân tích phần mềm độc hại đã chỉ ra những điểm tương đồng giữa REMUS và Lumma Stealer nổi tiếng, đặc biệt là trong các kỹ thuật nhắm mục tiêu trình duyệt, cơ chế đánh cắp thông tin đăng nhập và khả năng vượt qua mã hóa.

Việc phân tích 128 bài đăng ngầm liên quan đến chiến dịch REMUS từ ngày 12 tháng 2 đến ngày 8 tháng 5 năm 2026 cung cấp những hiểu biết quý giá về cách thức phần mềm độc hại này được tiếp thị, duy trì và vận hành trong cộng đồng tội phạm mạng. Các tài liệu thu thập được bao gồm quảng cáo, thông báo tính năng, nhật ký cập nhật, thông tin liên lạc với khách hàng và các cuộc thảo luận về hoạt động, cho phép các nhà nghiên cứu theo dõi sự phát triển của nền tảng và xác định các ưu tiên định hình quá trình phát triển của nó.

Những phát hiện này cho thấy nhiều điều hơn là một chiến dịch đánh cắp thông tin đơn giản. REMUS chứng minh một sự chuyển đổi rộng lớn hơn đang diễn ra trong nền kinh tế tội phạm mạng, nơi các hoạt động phần mềm độc hại ngày càng giống với các công ty phần mềm hợp pháp thông qua việc cập nhật liên tục, hỗ trợ khách hàng, tối ưu hóa hoạt động và các chiến lược kiếm tiền dài hạn.

Chu kỳ phát triển mạnh mẽ báo hiệu hoạt động MaaS đã trưởng thành.

Chiến dịch REMUS cho thấy một tiến trình phát triển cực kỳ ngắn gọn và mạnh mẽ. Thay vì quảng bá một sản phẩm phần mềm độc hại tĩnh, các nhà điều hành liên tục phát hành các bản cải tiến, nâng cấp khả năng thu thập dữ liệu và các tính năng quản lý chỉ trong vài tháng.

Tháng 2 năm 2026 đánh dấu lần ra mắt thương mại đầu tiên của phần mềm độc hại này. Các chiến dịch quảng cáo ban đầu tập trung mạnh vào tính dễ sử dụng, đánh cắp thông tin đăng nhập trình duyệt, thu thập cookie, đánh cắp mã thông báo Discord, gửi qua Telegram và chức năng quản lý nhật ký. Ngôn ngữ tiếp thị nhấn mạnh mạnh mẽ vào độ tin cậy và khả năng truy cập, bao gồm cả tuyên bố rằng phần mềm độc hại đạt tỷ lệ gọi lại thành công khoảng '90%' khi được kết hợp với cơ sở hạ tầng máy chủ trung gian và mã hóa hiệu quả. Những kẻ điều hành cũng quảng bá 'hỗ trợ 24/7' và tính dễ sử dụng đơn giản, báo hiệu rằng thương mại hóa và trải nghiệm khách hàng là những ưu tiên hàng đầu ngay từ đầu.

Tháng 3 năm 2026 trở thành giai đoạn phát triển tích cực nhất của chiến dịch. Trong giai đoạn này, phần mềm độc hại đã mở rộng phạm vi hoạt động vượt ra ngoài việc đánh cắp thông tin đăng nhập đơn thuần, hướng đến một nền tảng vận hành rộng lớn hơn. Các bản cập nhật đã giới thiệu khả năng khôi phục mã thông báo, theo dõi người thực hiện, bảng điều khiển thống kê, lọc nhật ký trùng lặp, cải thiện khả năng hiển thị trình tải và quy trình làm việc phân phối Telegram được nâng cao. Một số thông báo tập trung cụ thể vào quản lý chiến dịch và giám sát hoạt động thay vì chỉ đánh cắp dữ liệu, cho thấy sự chuyển hướng chiến lược sang khả năng mở rộng và quản trị.

Tháng 4 năm 2026 cho thấy sự nhấn mạnh mạnh mẽ hơn nữa vào tính liên tục của phiên và các bằng chứng xác thực phía trình duyệt. Chiến dịch này bổ sung khả năng tương thích với proxy SOCKS5, chức năng chống máy ảo, nhắm mục tiêu vào nền tảng trò chơi, khôi phục mã thông báo được cải tiến và các cơ chế thu thập liên quan đến trình quản lý mật khẩu. Một bản cập nhật đã đề cập rõ ràng đến việc thu thập dữ liệu của IndexedDB nhắm mục tiêu vào các tiện ích mở rộng trình duyệt liên kết với 1Password và LastPass, trong khi các thông báo khác đề cập đến các tìm kiếm liên quan đến Bitwarden. Những phát triển này nhấn mạnh sự tập trung ngày càng tăng vào việc bảo toàn quyền truy cập đã được xác thực thay vì chỉ đơn thuần thu thập tên người dùng và mật khẩu.

Đến đầu tháng 5 năm 2026, chiến dịch dường như đã chuyển từ giai đoạn mở rộng nhanh chóng sang giai đoạn ổn định hoạt động. Các bản cập nhật còn lại chủ yếu tập trung vào sửa lỗi, tối ưu hóa, cải thiện khả năng khôi phục và tinh chỉnh quản lý, cho thấy nền tảng đã bước vào giai đoạn bảo trì và mở rộng quy mô.

Vượt ra ngoài Lumma: REMUS phát triển thành một dịch vụ tội phạm mạng thương mại

Các báo cáo công khai thường mô tả REMUS như một phiên bản kế nhiệm hoặc biến thể có ý nghĩa kỹ thuật quan trọng của Lumma Stealer. Các nhà phân tích mô tả phần mềm độc hại này là một phần mềm đánh cắp thông tin 64-bit có nhiều đặc điểm tương đồng với Lumma, bao gồm đánh cắp thông tin đăng nhập tập trung vào trình duyệt, kiểm tra chống máy ảo và chức năng bỏ qua mã hóa.

Tuy nhiên, các kênh liên lạc ngầm cho thấy hoạt động này không chỉ đơn thuần dựa trên nguồn gốc kỹ thuật. Những kẻ điều hành REMUS liên tục quảng bá phần mềm độc hại này như một sản phẩm tội phạm mạng được bảo trì chuyên nghiệp, hỗ trợ bởi các bản cập nhật liên tục, cải tiến hoạt động, hỗ trợ khách hàng và khả năng thu thập dữ liệu được mở rộng. Phong cách giao tiếp của chúng rất giống với môi trường phát triển phần mềm hợp pháp, nơi việc quản lý phiên bản, khắc phục sự cố và lộ trình phát triển tính năng đóng vai trò quan trọng trong việc giữ chân khách hàng.

Việc liên tục nhấn mạnh vào tỷ lệ giao hàng thành công, độ tin cậy hoạt động và tối ưu hóa cơ sở hạ tầng đã thể hiện nỗ lực rõ ràng nhằm xây dựng lòng tin giữa các khách hàng tiềm năng và các đối tác. Thay vì hoạt động như một phần mềm độc hại độc lập, REMUS ngày càng định vị mình như một nền tảng tội phạm có khả năng mở rộng, được thiết kế để hỗ trợ các hoạt động tội phạm mạng bền vững.

Đánh cắp phiên đăng nhập trở nên có giá trị hơn so với việc thu thập thông tin đăng nhập truyền thống.

Một trong những chủ đề quan trọng nhất được ghi nhận trong suốt chiến dịch REMUS là sự nhấn mạnh ngày càng tăng vào vấn nạn đánh cắp phiên làm việc và tính liên tục của quyền truy cập đã được xác thực.

Trong quá khứ, nhiều phần mềm đánh cắp thông tin chủ yếu tập trung vào việc thu thập tên người dùng và mật khẩu. Tuy nhiên, REMUS luôn ưu tiên các cookie trình duyệt, mã thông báo xác thực, phiên hoạt động, quy trình khôi phục hỗ trợ bởi proxy và các bằng chứng xác thực được lưu trữ trong trình duyệt. Ngay từ những tài liệu quảng cáo đầu tiên, việc xử lý phiên xác thực dường như là một trong những điểm bán hàng chính của phần mềm độc hại này.

Xu hướng này phản ánh sự chuyển đổi rộng hơn trong thị trường tội phạm mạng ngầm. Các phiên đăng nhập đã được xác thực bị đánh cắp ngày càng trở nên có giá trị vì chúng có thể vượt qua các bước xác thực đa yếu tố, kiểm tra xác minh thiết bị, cảnh báo đăng nhập và hệ thống xác thực dựa trên rủi ro. Thay vì chỉ dựa vào thông tin đăng nhập bị đánh cắp cho các lần đăng nhập trong tương lai, các tác nhân đe dọa ngày càng tìm cách truy cập trực tiếp vào các môi trường đã được xác thực.

Một số bản cập nhật REMUS đặc biệt nhấn mạnh chức năng khôi phục, khả năng tương thích với proxy và hỗ trợ nhiều loại proxy trong quy trình khôi phục mã thông báo. Những tính năng này cho thấy rõ ràng rằng việc duy trì phiên hoạt động là một thành phần cốt lõi trong chiến lược hoạt động của phần mềm độc hại.

Chiến dịch này cũng nhắm mục tiêu vào các nền tảng nơi các phiên hoạt động có giá trị đặc biệt cao, bao gồm Discord, Steam, Riot Games và các dịch vụ liên kết với Telegram. Kết hợp với chức năng thu thập và khôi phục cookie mở rộng, phần mềm độc hại này dường như được thiết kế không chỉ để đánh cắp thông tin đăng nhập, mà còn để duy trì và vận hành quyền truy cập đã được xác thực.

Trình quản lý mật khẩu và bộ nhớ trình duyệt trở thành mục tiêu chính.

Một trong những bước phát triển quan trọng nhất ở giai đoạn cuối của chiến dịch liên quan đến việc lưu trữ dữ liệu phía trình duyệt, kết hợp với các hệ sinh thái quản lý mật khẩu. Đến tháng 4 năm 2026, các nhà mạng REMUS đã quảng cáo chức năng kết nối với các cơ chế lưu trữ dữ liệu trên trình duyệt như Bitwarden, 1Password, LastPass và IndexedDB.

Các trình quản lý mật khẩu hiện đại là những kho lưu trữ tập trung cao độ các thông tin đăng nhập, mã xác thực và thông tin tài khoản nhạy cảm, khiến chúng trở thành mục tiêu hấp dẫn đối với các hoạt động tội phạm mạng. Các tham chiếu đến IndexedDB đặc biệt quan trọng vì các tiện ích mở rộng trình duyệt và ứng dụng web hiện đại thường dựa vào bộ nhớ cục bộ của trình duyệt để lưu giữ thông tin phiên và dữ liệu ứng dụng.

Mặc dù các bài đăng được phân tích không tự mình xác nhận việc giải mã kho mật khẩu thành công hoặc việc xâm nhập trực tiếp vào trình quản lý mật khẩu, nhưng chúng chứng minh rõ ràng rằng quá trình phát triển REMUS đã chuyển hướng sang thu thập các bằng chứng lưu trữ phía trình duyệt có liên quan đến môi trường quản lý mật khẩu.

REMUS nêu bật sự chuyên nghiệp hóa của tội phạm mạng hiện đại.

Chiến dịch REMUS là một ví dụ điển hình cho thấy các hệ sinh thái MaaS hiện đại ngày càng giống với các doanh nghiệp phần mềm có cấu trúc chặt chẽ.

Qua phân tích các kênh liên lạc ngầm, các nhà điều hành liên tục công bố các bản cập nhật theo phiên bản, hướng dẫn khắc phục sự cố, sửa lỗi, nâng cấp tính năng, cải thiện số liệu thống kê và tinh chỉnh khả năng hiển thị hoạt động. Các tham chiếu đến công nhân, bảng điều khiển, phân loại nhật ký, giám sát máy xúc và khả năng hiển thị quản lý cũng cho thấy sự hiện diện của môi trường đa người vận hành với các vai trò vận hành chuyên biệt.

Các chỉ số chính về cấu trúc MaaS chuyên nghiệp hóa của REMUS bao gồm:

• Phát triển tính năng liên tục và chu kỳ cập nhật phiên bản.
• Hỗ trợ tập trung vào khách hàng và cải thiện khả năng sử dụng
• Bảng điều khiển hoạt động, theo dõi nhân viên và giám sát số liệu thống kê.
• Quy trình khôi phục phiên được thiết kế để truy cập liên tục
• Việc nhắm mục tiêu lưu trữ phía trình duyệt gắn liền với hệ sinh thái quản lý mật khẩu.

REMUS phản ánh hướng đi tương lai của các hoạt động đánh cắp thông tin.

Chiến dịch REMUS cho thấy các phần mềm đánh cắp thông tin hiện đại đang nhanh chóng phát triển vượt ra ngoài việc đánh cắp thông tin đăng nhập cơ bản, hướng tới các nền tảng hoạt động toàn diện được xây dựng để duy trì hoạt động, tự động hóa, mở rộng quy mô và kiếm lợi nhuận lâu dài.

Chỉ trong vài tháng, chiến dịch này đã chuyển đổi từ việc phát tán phần mềm độc hại đơn thuần thành một hệ sinh thái MaaS hoàn chỉnh, nhấn mạnh vào độ tin cậy hoạt động, bảo toàn phiên xác thực và khả năng thu thập dữ liệu có thể mở rộng. Việc ngày càng tập trung vào khôi phục mã thông báo, phục hồi phiên hỗ trợ bởi proxy và các bằng chứng xác thực phía trình duyệt cho thấy sự chuyển dịch rộng hơn trong các hoạt động tội phạm mạng, từ việc chỉ tập trung vào đánh cắp mật khẩu sang duy trì quyền truy cập liên tục vào các môi trường đã được xác thực.

Một số hệ quả rộng hơn xuất phát từ chiến dịch REMUS:

• Các phiên xác thực đang trở nên có giá trị hơn so với thông tin xác thực độc lập.
• Hệ sinh thái lưu trữ phía trình duyệt và quản lý mật khẩu ngày càng được nhắm mục tiêu cụ thể.
• Hoạt động của MaaS hiện nay có cấu trúc và quy trình tương tự như các doanh nghiệp phần mềm hợp pháp.
• Khả năng mở rộng và duy trì hoạt động đang trở thành những ưu tiên hàng đầu đối với các nhóm tội phạm mạng.

Chiến dịch REMUS cuối cùng củng cố một thực tế quan trọng về an ninh mạng: hiểu cách các tác nhân đe dọa thương mại hóa, vận hành và mở rộng hệ sinh thái phần mềm độc hại đang trở nên quan trọng không kém việc phân tích mã độc.