Moins d’un an après une opération des forces de l’ordre ayant neutralisé plus de 2 300 domaines de commande-et-contrôle, l’infostealer LummaStealer connaît un net regain d’activité. Selon l’analyse publiée par Bitdefender, l’infrastructure a été rapidement reconstruite, notamment via une migration vers des hébergeurs dits « bulletproof », l’intégration de chargeurs comme CastleLoader et un recours massif à l’ingénierie sociale. Une illustration claire de la capacité d’adaptation du modèle malware-as-a-service.
Un démantèlement partiel, une résurrection rapide
Apparu fin 2022 sur des forums russophones, LummaStealer est devenu en quelques années l’un des infostealers les plus largement déployés au monde. Proposé selon un modèle MaaS, il était loué à un vaste réseau d’affiliés cybercriminels, générant des centaines de milliers d’infections dans de multiples secteurs.
En mai 2025, une opération coordonnée des forces de l’ordre a perturbé son infrastructure en neutralisant plus de 2 300 domaines C2. L’opération n’a toutefois pas mis fin à l’activité. Les acteurs derrière Lumma ont migré vers des hébergeurs bulletproof moins coopératifs avec les autorités, reconstruit leurs chaînes de diffusion et adapté leurs techniques.
Les observations récentes de Bitdefender montrent une reprise à grande échelle. L’infrastructure a été rapidement rebâtie et la distribution mondiale a repris. Des recoupements d’infrastructure entre CastleLoader et LummaStealer suggèrent des services partagés ou une coordination au sein d’un écosystème MaaS structuré.
CastleLoader, pivot discret des nouvelles campagnes
Au cœur de cette reprise, CastleLoader occupe une place centrale dans les chaînes de diffusion. Ce chargeur modulaire fonctionne en exécution entièrement en mémoire, avec un niveau d’obfuscation élevé, une résolution dynamique des API et des communications C2 flexibles. Sa conception permet de livrer différentes charges utiles tout en limitant les traces sur le système compromis.
Les chercheurs ont identifié des variantes implémentées en AutoIt, combinant script et interpréteur dans un exécutable unique. L’analyse met en évidence des mécanismes d’évasion avancés : détection d’environnements virtualisés ou de sandbox, adaptation des chemins de persistance en fonction des solutions de sécurité présentes, et création de raccourcis dans le répertoire Startup pour assurer le lancement automatique.
Un artefact technique notable concerne les requêtes DNS : CastleLoader déclenche volontairement des tentatives de résolution vers des domaines inexistants composés d’une chaîne aléatoire répétée deux fois, séparée par un point. Ce comportement, lié à une instruction Ping, génère un motif identifiable dans les journaux réseau.
Une fois installé, le chargeur déchiffre la charge utile via deux couches successives de shellcodes utilisant des clés XOR distinctes, décompresse le flux obtenu et exécute le binaire LummaStealer directement en mémoire.
L’ingénierie sociale comme moteur d’infection
Dans les chaînes d’attaque analysées, la compromission initiale intervient après l’exécution volontaire du fichier malveillant par l’utilisateur. Les campagnes reposent principalement sur l’ingénierie sociale plutôt que sur l’exploitation de vulnérabilités techniques.
Les leurres incluent de faux installateurs de logiciels premium ou crackés, des jeux inexistants, des téléchargements de films récents via torrents ou des contenus à caractère adulte. Les fichiers sont souvent présentés sous forme d’archives auto-extractibles ou d’installateurs NSIS, reproduisant les formats habituels de distribution logicielle. Les avertissements de sécurité peuvent être perçus comme des effets attendus d’un logiciel piraté, ce qui favorise l’exécution.
Les chargeurs ont également été distribués via des plateformes légitimes et des réseaux de diffusion de contenu, ce qui renforce la crédibilité apparente des campagnes.
Autre vecteur important : les faux CAPTCHA, ou techniques dites « ClickFix ». La victime est invitée à exécuter manuellement une commande, typiquement via Win + R et un collage depuis le presse-papiers. La commande PowerShell récupère alors le chargeur depuis l’infrastructure de l’attaquant. Dans plusieurs cas observés, cette étape déploie CastleLoader, qui livre ensuite LummaStealer.
Certaines campagnes ajoutent une couche intermédiaire reposant sur des scripts VBA obfusqués, assurant la persistance via des tâches planifiées avant l’exécution du chargeur AutoIt.
Un impact durable sur les identités numériques
Une fois déployé, LummaStealer collecte un large éventail de données sensibles sur les systèmes Windows infectés. Le malware extrait notamment les identifiants enregistrés dans les navigateurs, les cookies de session, des documents personnels, des fichiers financiers, des clés secrètes, des codes de sauvegarde 2FA, ainsi que des données liées à des portefeuilles de cryptomonnaies et à leurs extensions associées.
Il cible également les gestionnaires de mots de passe, les outils d’accès distant, les fichiers VPN, certains clients email et diverses métadonnées système. Les échantillons analysés montrent aussi des capacités de capture d’écran, de vol de données Discord et Steam, ainsi que l’exfiltration du contenu du presse-papiers.
L’extraction de cookies et de sessions actives permet aux attaquants de contourner les mots de passe et d’accéder directement aux comptes compromis. Les données dérobées peuvent être utilisées pour des fraudes financières, des usurpations d’identité ou des tentatives d’extorsion.
Sur la période étudiée d’un mois, l’activité a été principalement observée en Inde, mais également aux États-Unis et en Europe. Dans un modèle MaaS, cette répartition géographique reste susceptible d’évoluer selon les choix de ciblage des affiliés.
