Le malware Lumma Stealer toujours actif malgré le démantèlement annoncé (update)
Une semaine après l’annonce de son démantèlement, le malware Lumma Stealer reste actif. Son infrastructure n’a été que partiellement affectée.
Mise à jour du 2 juin 2025: La semaine dernière, Microsoft et plusieurs organisations partenaires annonçaient avoir neutralisé une large partie de l’infrastructure de Lumma Stealer, un infostealer vendu sur les forums cybercriminels. Mais selon une analyse publiée par Check Point Research, l’opération n’aurait pas suffi à mettre fin à la menace.
Plusieurs éléments montrent que Lumma Stealer continue d’être actif. Des identifiants volés après l’opération apparaissent encore sur des canaux de revente automatisés. Une boutique spécialisée, destinée au marché russe, diffuse également des logs postérieurs à l’opération. Par ailleurs, une partie des serveurs de commande et de contrôle (C2), notamment en Russie, n’a pas été désactivée.
Le développeur de Lumma affirme désormais que l’activité a repris normalement et que l’infrastructure a été restaurée, malgré les perturbations causées par l’opération.
News du 26 mai 2025: La Digital Crimes Unit (DCU) de Microsoft a obtenu une décision de justice permettant de saisir plus de 2’300 domaines liés au malware Lumma Stealer. Utilisé pour dérober des identifiants, des informations bancaires et des portefeuilles de cryptomonnaies, Lumma est un outil de cybercriminalité vendu comme service (Malware-as-a-Service) sur les forums clandestins. Microsoft a identifié près de 400’000 machines Windows infectées entre mi-mars et mi-mai 2025.
L'opération s’est appuyée sur la collaboration entre Microsoft, Europol, le département de la Justice américain, le Centre japonais de lutte contre la cybercriminalité (JC3) et plusieurs entreprises de cybersécurité. Europol a notamment contribué à la suspension de 300 domaines. Les sites saisis ont été redirigés vers des sinkholes gérés par Microsoft, afin d’isoler le malware et de recueillir des données techniques pour améliorer la sécurité.
Lumma était diffusé via des campagnes de phishing ciblées, du malvertising et des faux sites se faisant passer pour des marques connues. En mars 2025, Microsoft Threat Intelligence avait détecté une campagne se faisant passer pour Booking.com et diffusant Lumma à des fins de vol financier. Les secteurs de la santé, des télécommunications, de la logistique, de la finance et de la fabrication ont été parmi les plus visés.
Le malware, développé par un individu utilisant le pseudonyme «Shamel», était vendu en différentes formules via Telegram. Dans une interview remontant à novembre 2023, ce dernier affirmait disposer d’environ 400 clients actifs. Son offre inclut des variantes personnalisées du logiciel, avec outils d’évasion et tableaux de bord de suivi des données volées.
Microsoft affirme que cette opération affaiblira durablement la capacité des cybercriminels à relancer des campagnes similaires. La société souligne l’importance d’une collaboration soutenue entre acteurs publics et privés pour perturber les outils clés du cybercrime. Les entreprises ESET, Bitsight, Lumen, Cloudflare, CleanDNS et GMO Registry ont également participé au démantèlement technique de l’infrastructure.
