Tras una importante operación policial en mayo que llevó a la incautación de unos 2.300 dominios y parte de su infraestructura, Lumma Stealer, uno de los malwares más activos del mercado, está retomando lentamente sus operaciones.
Aunque su plataforma de malware como servicio (MaaS) sufrió un duro golpe, no fue completamente desmantelada. A principios de junio ya comenzaban a detectarse nuevas señales de actividad por parte de este info-stealer, lo que dejó claro que los operadores seguían en pie.
En los foros de cibercrimen como XSS, los responsables de Lumma reaccionaron rápido, confirmando que su servidor principal no había sido incautado (aunque sí fue borrado de manera remota), y que estaban trabajando activamente para restaurar el servicio.
Primer mensaje del administrador de Lumma después de la acción policial (Fuente: Trend Micro)
Pese al golpe inicial de las autoridades, la operación detrás de Lumma Stealer logró reorganizarse sorprendentemente rápido. Su modelo de Malware como Servicio (MaaS) volvió a ponerse en marcha poco a poco, ganándose nuevamente la confianza de la comunidad cibercriminal y reactivando sus actividades de robo de datos en múltiples plataformas.
De acuerdo con expertos de Trend Micro, Lumma casi ha recuperado por completo el nivel de actividad que tenía antes del operativo policial. Su informe destaca una rápida reconstrucción de la infraestructura, respaldada por datos de telemetría en tiempo real.
“Tras la acción policial contra Lumma Stealer y su infraestructura asociada, nuestro equipo ha observado claros signos de un resurgimiento en sus operaciones”, señala el informe.
También agregan que la red del malware comenzó a mostrar actividad intensa apenas unas semanas después del desmantelamiento, lo que sugiere que los operadores tenían planes de contingencia bien establecidos.
Nuevos dominios Lumma C2
Podría interesarte leer: Detectan Malware Lumma en México y Vende datos en la Dark Web
Lumma no solo ha vuelto a operar, sino que lo ha hecho con mejoras en su capacidad para ocultarse y seguir infectando dispositivos. Una de las tácticas más efectivas del malware sigue siendo aprovechar servicios en la nube legítimos para disfrazar su tráfico malicioso.
Sin embargo, en lugar de seguir usando Cloudflare, ahora se ha movido a proveedores alternativos, principalmente Selectel, una empresa con sede en Rusia. Este cambio tiene un objetivo claro: evitar bloqueos y eliminación de infraestructura por parte de servicios más controlados.
Además, Lumma ha vuelto a emplear un enfoque de distribución multifacético, usando múltiples canales para lograr nuevas infecciones. En total, se han identificado cuatro métodos activos que están siendo utilizados para propagar el malware:
Una de las vías más antiguas, pero aún efectiva. Se promocionan cracks de software y generadores de licencias (keygens) falsos a través de anuncios maliciosos y resultados de búsqueda manipulados. Las víctimas terminan en sitios engañosos, donde su sistema es analizado mediante herramientas de detección de tráfico (TDS) para asegurarse de que son objetivos reales. Luego, se les sirve el archivo malicioso que inicia la infección: el Lumma Downloader.
En esta técnica, los sitios web comprometidos muestran supuestas páginas de verificación CAPTCHA. El truco está en que, al intentar pasar esta verificación, el usuario en realidad ejecuta comandos de PowerShell en segundo plano. Esto permite que Lumma se cargue directamente en la memoria del sistema, una estrategia que le ayuda a evadir muchas soluciones de seguridad que solo detectan archivos sospechosos en disco.
Los atacantes están creando repositorios en GitHub con contenido generado por inteligencia artificial, diseñados para atraer a gamers o curiosos con supuestas herramientas, mods o hacks para videojuegos. Dentro de estos repositorios se esconden cargas útiles de Lumma, como ejecutables maliciosos disfrazados (por ejemplo, bajo el nombre “TempSpoofer.exe”) ya sea de forma directa o empaquetados en archivos ZIP.
Por último, Lumma también está siendo promovido a través de videos en YouTube y posts en Facebook que prometen software gratuito o crackeado. Estos contenidos llevan a los usuarios a sitios externos desde donde se descarga el malware. A veces, incluso abusan de plataformas legítimas como sites.google.com, lo que da una falsa sensación de seguridad y credibilidad a quienes caen en la trampa.
Repositorio malicioso de GitHub (izquierda) y video de YouTube (derecha) que distribuye cargas útiles de Lumma
El regreso de Lumma Stealer como una amenaza activa pone en evidencia una dura realidad: las acciones policiales, si no van acompañadas de arrestos o cargos formales, no son suficientes para frenar a los cibercriminales más persistentes.
Para los operadores detrás de este tipo de plataformas de Malware como Servicio (MaaS), los operativos policiales son vistos más como un contratiempo temporal que como una amenaza real. Mientras no haya consecuencias legales concretas, estos actores simplemente pausan, se reorganizan y vuelven al juego.
El motivo es simple: este tipo de operaciones son increíblemente lucrativas. Con miles de clientes alquilando el malware, los ingresos pueden ser altísimos. Para quienes están detrás, el riesgo les parece pequeño comparado con las ganancias, y saben cómo moverse rápido para mantenerse un paso adelante de las autoridades.
Hoy en día, no basta con tener un antivirus tradicional. Las empresas deben contar con soluciones de ciberseguridad avanzadas que detecten comportamientos anómalos, analicen el tráfico en tiempo real y puedan responder de forma automatizada a posibles amenazas.
En TecnetOne, entendemos que la prevención efectiva requiere visibilidad, contexto y acción. Por eso ofrecemos un servicio completo de SOC as a Service, que combina lo mejor en tecnologías: usamos plataforma XDR para una detección más profunda y correlación de eventos, un sistema SIEM que centraliza y analiza logs de toda tu infraestructura, y Active Response para reaccionar automáticamente ante amenazas en tiempo real.
Nuestro equipo de analistas monitorea tu entorno 24/7, apoyado por inteligencia de amenazas, automatización avanzada y procesos de respuesta bien definidos. Así, no solo detectamos y bloqueamos ataques como Lumma, sino que también te ayudamos a reducir riesgos operativos, proteger tus datos y mantener la continuidad de tu negocio.