Una operació àmplia duta a terme per agències de forces de seguretat de tot el món i un consorci d’empreses del sector privat ha interromput la infraestructura en línia associada a un robatori d’informació de productes bàsics coneguda com a Lumma (també coneguda com a LummaC o LummaC2), amb la captura de 2.300 dominis que actuaven com a columna vertebral de comandament i control (C2) per controlar els sistemes Windows infectats.

«El programari maliciós com LummaC2 es desplega per robar informació delicada, com ara les credencials d’inici de sessió d’usuaris de milions de víctimes, per tal de facilitar una sèrie de delictes, incloses les transferències bancàries fraudulentes i el robatori de criptomoneda», va dir el Departament de Justícia dels Estats Units (DoJ) en un comunicat.

La infraestructura confiscada s’ha fet servir per atacar milions de persones a tot el món a través d’afiliats i altres ciberdelinqüents. Es creu que Lumma Stealer, actiu des de finals de 2022, s’ha utilitzat en almenys 1,7 milions de casos per robar informació, com ara dades del navegador, informació d’emplenament automàtic, credencials d’inici de sessió i frases inicials de criptomoneda. L’Oficina Federal d’Investigacions (FBI) dels Estats Units ha atribuït uns 10 milions d’infeccions a Lumma.

La confiscació afecta cinc dominis que serveixen com a panells d’inici de sessió per als administradors de Lumma Stealer i els clients que paguen per desplegar el programari maliciós, amb la qual cosa eviten que comprometin els seus ordinadors i robin la informació de les víctimes.

«Entre el 16 de març i el 16 de maig de 2025, Microsoft va identificar més de 394.000 ordinadors Windows a tot el món infectats pel programari maliciós Lumma», va dir l’Europol, i va afegir que l’operació talla les comunicacions entre l’eina maliciosa i les víctimes. L’agència va descriure Lumma com «l’amenaça de robatori d’informació més important del món».

La Unitat de Delictes Digitals (Digital Crimes Unit, DCU) de Microsoft, en col·laboració amb altres empreses de ciberseguretat ESET, BitSight, Lumen, Cloudflare, CleanDNS i GMO Registry, va dir que havia eliminat aproximadament 2.300 dominis maliciosos que formaven la columna vertebral de la infraestructura de Lumma.

«El desenvolupador principal de Lumma té la seu a Rússia i es coneix a Internet amb l’àlies ‘Shamel’», va dir l’Steven Masada, conseller general adjunt de DCU. «Shamel comercialitza diferents nivells de servei per a Lumma a través de Telegram i altres fòrums de xat en llengua russa. Segons el servei que compri un cibercriminal, poden crear les seves pròpies versions del programari maliciós, afegir eines per ocultar-lo i distribuir-lo i fer un seguiment de la informació robada a través d’un portal en línia».

El robatori, comercialitzat sota un model de programari maliciós com a servei (MaaS), està disponible per subscripció per entre 250 i 1.000 dòlars. El desenvolupador també ofereix un pla de 20.000 dòlars que concedeix als clients accés al codi font i el dret de vendre’l a altres actors criminals.

«Els nivells inferiors inclouen opcions bàsiques de filtratge i descàrrega de registres, mentre que els nivells superiors ofereixen recollida de dades personalitzades, eines d’evasió i accés precoç a noves funcions», va dir ESET. «El pla més car posa l’accent en el sigil i l’adaptabilitat, i ofereix una generació de construcció única i una detecció reduïda.»

Amb els anys, Lumma s’ha convertit en una amenaça notòria, que s’ha lliurat per mitjà de diferents vectors de distribució, inclòs el mètode  ClickFix, que està esdevenint molt popular. El fabricant de Windows, que està fent un seguiment de l’actor de l’amenaça que hi ha al darrere del lladre sota el nom de Storm-2477, va dir que la seva infraestructura de distribució és «dinàmica i resistent», i aprofita una combinació de pesca, publicitat incorrecta, esquemes de descàrrega, abús de plataformes de confiança i sistemes de distribució de trànsit com ara Prometeu.

Cato Networks, en un informe publicat dimecres, va revelar que els presumptes actors russos d’amenaça estan aprofitant Tigris Object Storage, Oracle Cloud Infrastructure (OCI) Object Storage i Scaleway Object Storage per allotjar pàgines reCAPTCHA falses que fan ús de ClickFix. L’estil atrau per enganyar els usuaris perquè la baixin Lumma Stealer.

«La campanya recent que aprofita l’emmagatzematge d’objectes Tigris, l’emmagatzematge d’objectes OCI i l’emmagatzematge d’objectes Scaleway es basa en mètodes anteriors, introdueix nous mecanismes de lliurament destinats a evadir la detecció i orientar-se als usuaris tècnicament competents», van afirmar els investigadors Guile Domingo, Guy Waizel i Tomer Agayev. 

Tot seguit detallem alguns dels aspectes notables del programari maliciós:

• Empra una infraestructura C2 multinivell que consisteix en un conjunt de nou dominis de nivell 1 que canvien freqüentment, codificats en dur a la configuració del programari maliciós, i C2 alternatius allotjats en perfils de Steam i canals de Telegram que apunten a C2 de nivell 1.
• Les càrregues útils són normalment propagació que fa servir xarxes de pagament per instal·lació (PPI) o venedors de trànsit que ofereixen instal·lacions com a servei.
• Normalment, el robatori s’inclou amb programari falsificat o versions craquejades de programari comercial popular, orientat als usuaris que busquen evitar pagar per llicències legítimes.
• Els operadors han creat un Mercat de Telegram amb un sistema de qualificació perquè els afiliats venguin dades robades sense intermediaris
• El nucli binari està ofuscat amb protecció avançada, com ara la màquina virtual de baix nivell (nucli LLVM), Control Flow Flattening (CFF), Control Flow Obfuscation, desxifratge de pila personalitzat, variables de pila enormes i codis morts, entre d’altres per dificultar l’anàlisi estàtica.
• Hi havia més de 21.000 llistes de mercat que venien registres de Lumma Stealer en diversos fòrums de cibercriminals d’abril a juny de 2024, un augment del 71,7 % d’abril a juny de 2023

«La infraestructura de distribució de Lumma Stealer és flexible i adaptable», va afirmar Microsoft. «Els operadors perfeccionen contínuament les seves tècniques, roten dominis maliciosos, exploten xarxes publicitàries i aprofiten serveis legítims al núvol per evitar la detecció i mantenir la continuïtat operativa. Per amagar encara més els servidors C2 reals, tots els servidors C2 s’amaguen darrere del servidor intermediari de Cloudflare.»

«Aquesta estructura dinàmica permet que els operadors maximitzin l’èxit de les campanyes i alhora compliquin els esforços per rastrejar o desmantellar les seves activitats. El creixement i la resistència de Lumma Stealer posa de manifest l’evolució més àmplia de la ciberdelinqüència i subratlla la necessitat de defenses en capes i col·laboració de la indústria per contrarestar les amenaces.»

L’empresa d’infraestructures web Cloudflare va dir que va col·locar una nova pàgina d’advertència intersticial habilitada per torniquet davant dels dominis del mercat i del servidor C2 dels actors maliciosos, a més de prendre mesures contra els comptes que es van utilitzar per configurar els dominis.

«Aquesta interrupció va funcionar per revertir completament les seves operacions en pocs dies, va eliminar un nombre important de noms de domini i, finalment,  va bloquejar la seva capacitat de guanyar diners cometent delictes cibernètics», va dir Blake Darché, cap de Cloudforce One. «Si bé aquest esforç els va fer mal a la infraestructura mundial de robatoris d’informació més gran, com qualsevol actor d’amenaça, els que hi ha al darrere de Lumma canviaran de tàctica i tornaran a sorgir per tornar la seva campanya en línia.»

En una entrevista amb l’investigador de seguretat g0njxa el gener de 2025, el desenvolupador darrere de Lumma va dir que pretenien cessar les seves operacions la tardor vinent. «Hem fet molta feina durant dos anys per aconseguir el que tenim ara», van dir. «Estem orgullosos d’això. Per a nosaltres, ha esdevingut part de la nostra vida diària, i no només de la feina.»

Selena Larson, investigadora d’amenaces al personal de Proofpoint, va dir a The Hacker News que sempre és «una bona idea prendre qualsevol cosa que diguin els criminals amb cert escepticisme», i va afegir que el desmantellament de Lumma Stealer ha fet que els actors de l’amenaça prenguin mesures per actualitzar la seva infraestructura i que continuen veient alguna activitat.

«La interrupció de Lumma Stealer mitjançant la confiscació de dominis i l’alteració del lloc web és una victòria general per a l’ecosistema, fins i tot si queda alguna funcionalitat», va dir Larson. «Tot i que encara estem veient una mica d’activitat de Lumma Stealer, ha disminuït significativament després de la interrupció. No obstant això, tal com van publicar els mateixos operadors, mentre es van produir la confiscació i la desfiguració del domini, van prendre mesures per millorar la seguretat operativa i tenen previst compartir informació addicional aviat.»

“Val la pena assenyalar, però, que les interrupcions poden tenir impactes més enllà de la retirada de la infraestructura. Totes les interrupcions imposen un cost als actors de les amenaces. Si bé és cert que els operadors poden reconstruir-se, o que els actors d’amenaça que fan servir programari maliciós interromput poden canviar a una càrrega útil diferent, les interrupcions de la infraestructura, el fet de ser assenyalat i la vergonya, i fins i tot les retirades temporals poden tenir més impactes. Per exemple, els actors de les amenaces poden desconfiar de comprar aquest tipus de programari maliciós en el futur, o de treballar amb els delinqüents associats amb el programari maliciós, o fins i tot poden fer que els delinqüents pensin a trobar una carrera diferent. I és possible que un altre programari maliciós que el ‘substitueixi’ no tingui les mateixes característiques, funcionalitat o facilitat d’ús.»

Els administradors de Lumma Stealer també han reconegut la interrupció, però van assenyalar que les forces de seguretat van irrompre al seu servidor mitjançant un explotador desconegut i van formatar tots els discos. També van afirmar que les autoritats van interceptar el seu domini i van crear una pàgina d’inici de sessió de pesca per recollir les adreces IP dels seus clients.

«Ens vam adonar que el control s’ha obtingut molt probablement a través d’alguna vulnerabilitat interna a l’IDRAC. Com hi van accedir?, perquè almenys es troba en una xarxa completament diferent, encara no ho sabem», van dir.