Incluso tras desmantelamientos de gran repercusión, las operaciones sofisticadas de ciberdelincuencia no desaparecen, sino que evolucionan rápidamente. Remus es un claro ejemplo de cómo los actores de amenazas se adaptan, se reestructuran y resurgen con técnicas de evasión más potentes.

Tras el desmantelamiento del año pasado de la famosa operación «Lumma Stealer», los Laboratorios de Amenazas de Gen, el equipo de investigación detrás de las marcas de consumo Norton y Avast, han identificado lo que parece ser su siguiente evolución.

En una nueva investigación, nuestro equipo describe “Remus”, un nuevo programa de robo de información de 64 bits que muestra un claro parentesco técnico con Lumma, lo que sugiere que se trata de un rebranding o de la continuación de la actividad del mismo actor de amenazas.

Algunos puntos destacados de la investigación:

• Hay indicios claros que apuntan a Lumma: patrones de código compartidos, técnicas de ofuscación idénticas y una forma muy específica de eludir el cifrado vinculado (Application-Bound Encryption) a la aplicación vinculan estrechamente a Remus con la familia Lumma.
• Nuevas capacidades: Remus incorpora controles adicionales contra el análisis y adapta su infraestructura a métodos más resistentes, incluida la resolución de C2 basada en blockchain (utilizando EtherHiding).
• Campañas activas: Los primeros ataques detectados se remontan a febrero de 2026, lo que demuestra que los autores de las amenazas ya están en acción tras la interrupción de Lumma.

Por qué es importante:

Incluso tras desmantelamientos de gran repercusión, las operaciones sofisticadas de ciberdelincuencia no desaparecen, sino que evolucionan rápidamente. Remus es un claro ejemplo de cómo los actores de amenazas se adaptan, se reestructuran y resurgen con técnicas de evasión más potentes.