Guidata da Microsoft, l’operazione ha reso in gran parte inattiva la botnet colpendo i server C&C. ESET ha fornito analisi tecniche e dati estratti da migliaia di campioni
ESET, leader europeo globale nel mercato della cybersecurity, ha collaborato con Microsoft, BitSight, Lumen, Cloudflare, CleanDNS e GMO Registry a un’operazione internazionale volta a smantellare Lumma Stealer, un famigerato infostealer offerto in modalità Malware-as-a-Service. L’operazione ha preso di mira l’infrastruttura di Lumma Stealer, in particolare tutti i server C&C noti dell’ultimo anno, rendendo in gran parte inattiva la botnet.
“I sistemi automatizzati di ESET hanno analizzato decine di migliaia di campioni di Lumma Stealer, estraendo elementi chiave come i server C&C e gli identificativi degli affiliati. Questo ci ha permesso di monitorare costantemente l’attività di Lumma Stealer, raggruppare gli affiliati, tenere traccia degli aggiornamenti del codice e molto altro”, spiega Jakub Tomanek, ricercatore ESET esperto di Lumma Stealer. “Le famiglie di infostealer come Lumma Stealer sono spesso solo l’anticamera di attacchi ben più gravi. Le credenziali sottratte sono merce preziosa nel cybercrime, venduta dai broker di accessi iniziali ad altri criminali informatici, inclusi affiliati a gruppi ransomware”, aggiunge Tomanek. Negli ultimi due anni, Lumma Stealer è stato tra gli infostealer più diffusi a livello globale, senza risparmiare alcuna area geografica.
I suoi sviluppatori hanno continuato ad aggiornare e mantenere attivamente il codice con modifiche che spaziano da semplici correzioni di bug a modifiche complete nella cifratura delle stringhe e nel protocollo di rete. Anche l’infrastruttura condivisa della botnet è stata gestita attivamente dagli operatori. Tra il 17 giugno 2024 e il 1° maggio 2025, ESET ha identificato 3.353 domini C&C unici, con una media di circa 74 nuovi domini alla settimana, compresi aggiornamenti occasionali ai resolver basati su Telegram. Questa continua evoluzione dimostra la pericolosità della minaccia e l’importanza dell’intervento di smantellamento.
Lumma Stealer adotta un modello Malware-as-a-Service, in cui gli affiliati pagano un abbonamento mensile, suddiviso per livelli, per ricevere le versioni aggiornate del malware e l’infrastruttura necessaria all’esfiltrazione dei dati. I prezzi vanno da 250 a 1000 dollari al mese, a seconda del livello di funzionalità. Gli operatori hanno inoltre creato un marketplace su Telegram, dotato di sistema di valutazione, per vendere i dati sottratti senza intermediari. I metodi di distribuzione più comuni includono campagne di phishing, software piratato e altri downloader malevoli. Lumma Stealer impiega poche ma efficaci tecniche anti-emulazione per rendere l’analisi del malware il più complessa possibile, ostacolando le attività dei ricercatori.
La Digital Crimes Unit di Microsoft ha coordinato la rimozione, la sospensione, il sequestro e il blocco dei domini malevoli che costituivano la spina dorsale dell’infrastruttura di Lumma Stealer, grazie a un’ordinanza dello United States District Court for the Northern District of Georgia. In parallelo, lo United States Department of Justice ha sequestrato il pannello di controllo del malware e colpito direttamente il marketplace di Lumma Stealer e i suoi acquirenti. L’operazione è stata coordinata anche con l’Europol (European Cybercrime Centre – EC3) e con il Japan Cybercrime Control Center (JC3), che hanno facilitato il blocco delle infrastrutture locali.
“L’operazione è stata resa possibile dal nostro monitoraggio costante di Lumma Stealer. L’intervento, guidato da Microsoft, ha mirato al sequestro di tutti i domini C&C noti, rendendo non funzionale l’infrastruttura. ESET continuerà comunque a monitorare altri infostealer e a osservare da vicino eventuali attività residue di Lumma Stealer”, conclude Tomanek.
Per un approfondimento sull’ecosistema di Lumma Stealer, un’analisi tecnica dettagliata e una panoramica sull’evoluzione delle sue principali caratteristiche statiche e dinamiche, è disponibile il post sul blog ESET Research dal titolo “ESET takes part in global operation to disrupt Lumma Stealer” su WeLiveSecurity.com. Per rimanere aggiornati sulle ultime novità è possibile seguire ESET Research su X (precedentemente noto come Twitter), BlueSky e Mastodon.
