Remus Stealer:新しくて新しくもないインフォスティーラー | Codebook|Security News
Codebook|Security News > Articles > サイバーインテリジェンス > マルウェア・ランサムウェア > Remus Stealer:新しくて新しくもないインフォスティーラー

マルウェア・ランサムウェア

Flashpoint

インフォスティーラー

Remus Stealer:新しくて新しくもないインフォスティーラー

nosa

nosa

2026.07.16

本稿では情報窃取型マルウェア「Remus Stealer」について詳しく解説するとともに、悪名高いLumma Stealerとの構造的・挙動的な類似点を分析します。

サイバー犯罪のアンダーグラウンドマーケットにおいて、新しい動きのない状態が長続きすることはほとんどありません。新たに登場したRemus Stealerは、管理パネルや盗み出したログファイル、コアとなるコード構造といった側面において、悪名高いLumma Stealerファミリーと顕著な類似性を示しています。

コードや機能面で共通点があるにもかかわらず、この新興スティーラーは脅威アクターの間で人気を博しており、既存のセキュリティ境界をすり抜けるように設計された、独自のモダンなコマンド&コントロール(C2)とネットワークインフラを備えている点も魅力になっています。

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2026年7月2日付)を翻訳したものです。

 

現時点で判明していること

Flashpointでは2026年3月、Remusが不法コミュニティで販売されていることを初めて確認しました。販売情報によると、Google OAuthクッキーの復元やログ送信を目的としたTelegramチャンネルとの連携など、一般的なMaaS(Malware-as-a-Service、マルウェア・アズ・ア・サービス)製品と同様の機能が提供されています。

Lummaファミリーと同じように、Remusのサブスクリプションサービスは3階層のアクセスモデルで運用されています。

  • Basic(ベーシック):250米ドル
  • Pro(プロ):500米ドル
  • Enterprise(エンタープライズ):1,000米ドル

Remusの販売・配布に関連する追加チャネルや自動ボットは、現時点で確認されていません。また、Lummaとの類似性を否定できないにもかかわらず、Remusの開発者はLummaプロジェクトのリブランドではないと主張しています。

Remusは2026年3月以降、特に支障なく活動を続けています。2025年8月にはLummaがドキシングの被害に遭い、運営者数人の個人情報などが暴露されましたが、Remusにはほとんど影響がありませんでした。

Lummaとの類似点

RemusとLummaのパネルには、外観と機能の両面で類似性が見られます。どちらのパネルもタブアイコンによく似たアセットを使用しており、パッカーやログクラウドなどほかの不正サービスへの広告が組み込まれています。収集されたログについても、一意の識別子を含めてログファイルのディレクトリ構造が酷似しています。

Remus Stealerのパネル(画像入手元:Flashpoint Collections)

 

コードレベルで重複

Remusは64ビットでコンパイルされたバイナリであり、Lummaは32ビットのバイナリでした。しかし、両マルウェアのコードベースには大きな類似点が見られます。

アンパックされたサンプルを実行すると、RemusもLummaもビルドがアンパック状態であることを示す警告メッセージを表示します。これはLummaが数年前に初めて採用した独自の特徴です。RemusとLummaのどちらのサンプルにおいても、マルウェアの主要機能が実行される前にパックチェックとウィンドウメッセージが表示されます。

RemusとLummaの双方で、まずサンプルがパックされているかどうかを確認する関数が使われ、次の関数でウィンドウにエラーメッセージを表示します。

RemusはLummaによく似た文字列難読化手法を採用しており、個別にエンコードされた各文字列が実行時にデコードされます。復号処理はエンコードされたBLOB(バイナリ形式のデータの塊)に対し、バイト単位のループ処理を行うことで実行されます。また、各文字列はそれぞれ異なるパターンで難読化されています。これは以下のコードサンプルで確認可能です。

Remusのインライン文字列の復号処理(画像入手元:Flashpoint)

 

Lummaのインライン文字列の復号処理(画像入手元:Flashpoint)

 

特筆すべき点として、どちらのサンプルにおいても、スタック上に移動されるエンコード済みBLOBと復号処理ループの間にNOP命令が少なくとも1つ入っています。

Lummaのもう1つの特徴は、顧客と特定のビルド世代を関連付けるプレーンテキストの識別子文字列が存在することです。この文字列はLummaでLID(Lumma ID)と呼ばれており、Remusにおいても「タグ」として同様のID方式が採用されています。

 

Lumma ID(画像入手元:Flashpoint)

 

Remusのタグ(画像入手元:Flashpoint)

 

LummaのLIDと同様、Remusのタグも特定の亜種ビルドとキャンペーンを単一の脅威アクターやグループに紐付けるために利用できる可能性があります。

さらに、Remusは制御フローの難読化においてもLummaと類似しています。具体的には、直接ジャンプをスタック上に配置されたオフセットから読み取られる間接ジャンプに、あるいはジャンプテーブルに基づいて算出されるジャンプに、またはポインタによって解決されるジャンプに置き換えます。

Remusの特徴

Remusは多くの点でLummaに類似していますが、C2へのビーコニング(通信)の仕組みに大きな違いがあります。

Remusはインフォスティーラー本来の機能を実行する前に、C2インフラへのビーコニングを行います。POSTリクエストを用いて「domain:port」の複数の組み合わせを解決しようと試みるほか、イーサハイディング(ブロックチェーン技術を悪用して有害コードを隠す方法)を使ってC2サーバーを特定し、最終的な接続を試みます。また、接続に失敗した場合はマルウェアの動作が終了します。

接続が確立された後、RemusはC2にPOSTリクエストを送信してアクセストークンを取得します。取得・復号されたアクセストークンは暗号化された設定データを入手するために利用され、この設定データを使ってRemusが被害者システム上の資産に狙いを定めます。その後、データはログにまとめられ、暗号化されたPOSTデータとして外部に持ち出されます。

 

Remusサンプルからのネットワークトラフィック(画像入手元:Flashpoint)

Flashpointをインフォスティーラー対策に活用

Remus Stealerは、Lumma崩壊後に残されたMaaS型インフォスティーラーのモデルを高度に継承した情報窃取型マルウェアです。開発者はRemusの独自性をアピールしていますが、コードの重複が多いこと、難読化の手法が共通していること、そして管理パネルが類似していることなどは、このスティーラーがLummaのコードベースに強く影響を受けている、あるいはそこから派生している可能性を示唆しています。これらの特性を備えたRemusは、先行するマルウェア群が抱えていた悪評や法執行機関による精査の問題から遠ざけてくれるだけでなく、使いやすくて堅牢な代替手段として、脅威アクターたちの間で評価を集めているのです。

Flashpointでは新たな脅威を特定するため、不正コミュニティやアクセス困難な脅威アクターの活動領域、マルウェアリポジトリにおける最新動向などを継続的に追跡しています。当社独自の一次資料コレクションとアナリストの知見を活用し、セキュリティチームの能力を強化する方法を確かめるには、Flashpointのデモをお申し込みください。

 

※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。

FlashpointやVulnDBについて詳しくは、以下のフォームからお問い合わせください。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ