Auf den Punkt: Der Infostealer REMUS wird wie ein professionelles Softwareunternehmen betrieben: Mit kontinuierlichen Updates, fokussierter Kundenorientierung und Skalierungszielen. Forschungen zeigen, dass Underground-MaaS-Operationen modernste Geschäftspraktiken adaptieren, um Persistenz und Einnahmen zu sichern.
Der Infostealer REMUS hat sich in den letzten Monaten im Cybercrime-Ökosystem etabliert und zieht die Aufmerksamkeit von Sicherheitsforschern auf sich. Eine Analyse von 128 Beiträgen in Underground-Foren zeigt, wie die dahintersteckende Gruppe ihr Malware-Geschäft wie ein professionelles Softwareunternehmen betreibt – mit kontinuierlichen Entwicklungszyklen und gezieltem Marketing.
Ein Forscherteam der Flare hat die Aktivitäten rund um REMUS zwischen Februar und Mai 2025 untersucht und offenbart eine bemerkenswert professionelle Kriminalisierung. Die Analysen von Anzeigen, Update-Logs und Kundeninteraktionen zeigen nicht nur die rapide Entwicklung des Stealers, sondern auch eine zunehmende Fokussierung auf Kommerzialisierung, Skalierbarkeit und die Infiltration von Passwort-Managern.
Das Malware-as-a-Service-Modell (MaaS) funktioniert dabei wie ein echtes Softwareunternehmen: Mit aggressiven Entwicklungszyklen und kontinuierlichen Verbesserungen bringt der Operator regelmäßig neue Features, operationale Enhancements und Datensammlungsmethoden hervor. Bereits in frühen Werbeposts pries der Betreiber die Zuverlässigkeit und Benutzerfreundlichkeit von REMUS an. Er warb damit, dass die Kombination aus solider Verschlüsselung und dedizierten Servern eine Callback-Rate von etwa 90 Prozent erreicht. Die Kernfunktionen umfassten das Stehlen von Browser-Anmeldedaten, das Sammeln von Cookies, das Greifen von Discord-Token und die Datenübermittlung via Telegram.
Besonders aufschlussreich war die Vermarktungsstrategie: Der Operator betonte durchgehend die Einfachheit der Bedienung – die Malware sei „so einfach, dass sogar ein Kind sie begreift” – und versprach „24/7-Support”. Diese Kundenorientierung zeigt, wie professionalisiert das Underground-Geschäft inzwischen operiert. Die intensive Entwicklungsphase erreichte ihren Höhepunkt im März 2026, wobei die Kampagne ursprünglich im Februar 2026 gestartet war.