In de afgelopen maanden is de REMUS infostealer malware opgekomen binnen het cybercrime-ecosysteem, waarbij beveiligingsonderzoekers en malware-analisten de aandacht trokken. Technische analyses richtten zich vooral op de mogelijkheden van de malware, de infrastructuur en de overeenkomsten met de Lumma Stealer, zoals het stelen van browsergegevens en credentials. Minder bekend is echter de ondergrondse operatie achter de malware zelf.

Onderzoekers van Flare analyseerden 128 berichten die tussen februari en mei 2026 werden geplaatst door de REMUS-ondergrondse groep. Deze analyse geeft inzicht in hoe de groep de malware presenteert, ontwikkelt en inzet binnen ondergrondse communities. Door advertenties, update-logs, aankondigingen van nieuwe functies, operationele discussies en klantcommunicatie te bestuderen, werd duidelijk hoe de operatie zich in korte tijd ontwikkelde en welke prioriteiten de ontwikkeling bepaalden.

De bevindingen tonen niet alleen de snelle evolutie van de stealer, maar ook een groeiende focus op commercialisering, schaalbaarheid, sessiediefstal en het richten op wachtwoordmanagers. De operatie vertoont kenmerken van een moderne malware-as-a-service (MaaS) onderneming, met continue ontwikkelingscycli, operationele verbeteringen en functies die gebruiksgemak, persistentie en langdurige winstgevendheid bevorderen.

De ondergrondse activiteit laat een intensief ontwikkeltraject zien, waarbij de exploitant binnen enkele maanden herhaaldelijk nieuwe functies, operationele aanpassingen en verbeterde dataverzamelingsmogelijkheden publiceerde. In plaats van een statische malwareversie werd REMUS gepresenteerd als een dynamisch onderhouden MaaS-platform dat bijna realtime evolueert.

In februari 2026 begon de commerciële promotie van REMUS. De eerste berichten benadrukten betrouwbaarheid en gebruiksgemak, met functies zoals het stelen van browsercredentials, cookies, Discord-tokens, levering via Telegram en basisbeheer van logs. De toon was sterk klantgericht en promotioneel, met claims over een callback-rate van ongeveer 90 procent dankzij goede crypting en een dedicated tussenserver. Ook werd 24/7 ondersteuning en eenvoudige bediening benadrukt.

Maart 2026 was de meest actieve ontwikkelingsperiode. Nieuwe functies zoals tokenherstel, uitgebreid logbeheer, tracking van operators, statistiekpagina’s en filtering van dubbele logs werden toegevoegd. De focus verschoof deels van het stelen zelf naar operationele zichtbaarheid en campagnebeheer. Zo werden bijnamen van operators toegevoegd aan logtabellen en werd de zichtbaarheid van loader-executies verbeterd om mislukte infecties beter te kunnen analyseren. REMUS ontwikkelde zich hiermee tot een breder operationeel platform in plaats van enkel een malware-executable.

In april 2026 verschoof de focus naar sessiecontinuïteit en het verzamelen van browserauthenticatiegegevens. Er werd ondersteuning toegevoegd voor SOCKS5-proxy’s, verbeterde tokenherstel, anti-VM-opties, targeting van gamingplatforms en het verzamelen van data uit wachtwoordmanagers. Zo werd expliciet IndexedDB-collectie voor 1Password en LastPass extensies toegevoegd, evenals zoekfunctionaliteit gerelateerd aan Bitwarden. De berichten benadrukten steeds meer het belang van geauthenticeerde sessies en browseropslag boven alleen het stelen van losse credentials.

Begin mei 2026 lag de nadruk op verfijning en stabiliteit van de operatie, met verbeteringen in herstelprocessen en bugfixes. Deze ontwikkelingen illustreren hoe REMUS zich snel ontwikkelt tot een geavanceerd en commercieel MaaS-platform met een sterke focus op gebruiksvriendelijkheid, operationele schaalbaarheid en het maximaliseren van opbrengsten.