一份来自地下论坛的128条帖子,把REMUS信息窃取木马的运营逻辑摊在了阳光下。Flare安全团队从2026年2月12日到5月8日的运营记录中,还原出一个比技术报告更复杂的图景:这不是静态的恶意代码,而是一家在暗网里高速运转的"软件公司"。
2月的首批广告已经暴露了商业野心。运营方主打"回调率约90%"——前提是配合好的加密和专用中介服务器。更直白的卖点是"24/7支持"和"简单到孩子都能上手"。这些表述和正经SaaS产品的获客话术几乎无异,区别只在于贩卖的是浏览器凭证、Cookie和Discord令牌。
3月进入密集迭代期。更新日志里很少出现新的窃取功能,取而代之的是运营工具:worker昵称标记、统计页面、重复日志过滤、Telegram投递优化。一个细节很说明问题——某次更新给日志表格加了worker追踪,另一次则改进了加载器执行的可视化。这些改动指向同一个优先级:让购买者能管理大规模投放,而不是单次得手。
运营方在帖子中反复提及"restore-token"功能,配合持续扩展的日志处理能力。这种设计明显服务于会话劫持场景:窃取的不是一次性密码,而是能维持长期访问的会话凭证。同期出现的密码管理器针对性功能,进一步强化了"持久化访问"而非"一锤子买卖"的商业模式。
整个时间线压缩在三个月内,更新频率接近实时。没有版本号跳跃,没有年度大版本,只有连续的功能补丁和运营优化。这种节奏本身即是信号:现代MaaS(恶意软件即服务)正在模仿合法科技公司的开发-运营闭环,把可用性和可扩展性当作核心护城河。
技术报告通常聚焦REMUS与Lumma Stealer的代码相似性——浏览器 targeting 机制、凭证窃取逻辑等。但运营帖子揭示的平行线索同样关键:代码复用之外,是商业模式的复用。会话窃取优先于单次凭证收割,平台化管理优先于工具交付,客户成功优先于功能堆砌。
Flare分析覆盖的128条帖子,时间跨度不足三个月,却完整记录了一次商业转向的早期阶段。当安全行业还在比对样本哈希时,地下经济已经跑完了从产品化到运营化的迭代。这种速度差本身,或许比任何单一功能都更值得警惕。
热门跟贴