Hinter den Kulissen: So arbeiten Lumma-Partner
Executive Summary
Die Insikt Group liefert eine einzigartige Analyse mehrerer Lumma-Tochtergesellschaften, die in einem riesigen, miteinander verbundenen Ökosystem für Informationsdiebstahl tätig sind. Den Lumma Infostealer gibt es seit 2022, und sein Ökosystem wird von einer breiten Palette von operativen Enablern unterstützt, darunter Proxy-Netzwerke, virtuelle private Netzwerke (VPNs), Anti-Detect-Browser, die auf die Verwaltung mehrerer Konten zugeschnitten sind, Exploit- und Verschlüsselungsdienste sowie Tools zur Umgehung von Erkennungen, die Stealth und Kontinuität gewährleisten sollen. Die Untersuchung deckte bisher undokumentierte Tools auf und zeigte, dass Lumma-Tochtergesellschaften häufig mehrere Systeme gleichzeitig betreiben. So wurde beispielsweise festgestellt, dass ein Tochterunternehmen Mietbetrug betreibt, während andere gleichzeitig mehrere Malware-as-a-Service (MaaS)-Plattformen nutzen, darunter Vidar, Stealc und Meduza Stealer, um die betriebliche Agilität zu stärken, die Erfolgsquoten zu verbessern und die Risiken im Zusammenhang mit der Aufdeckung und der Entfernung durch die Strafverfolgungsbehörden zu mindern. Darüber hinaus sind mehrere Lumma-Partner in Untergrundforen mit unterschiedlichen Bedrohungsakteurs-Personas verbunden, was ihre tiefe Integration in das breitere cyberkriminelle Ökosystem verstärkt.
Kurzfristig sollten sich Verteidiger an Best Practices für die Sicherheit halten, indem sie auf Exfiltrationsereignisse überwachen, Erkennungen wie YARA-, Sigma- und Snort-Regeln einsetzen, um sowohl aktuelle als auch historische Infektionen aufzudecken, Downloads von Websites einschränken und möglicherweise Zulassungslisten verwenden. Unternehmen sollten ihre Mitarbeiter darin schulen, Anzeichen von unrechtmäßigen Downloads, Weiterleitungen im Zusammenhang mit Malvertising und immer häufiger auftretenden Techniken wie ClickFix-Angriffen zu erkennen. Darüber hinaus sollten Verteidiger das Dark Web und Untergrundforen auf kompromittierte Anmeldeinformationen und Malware-Protokolle überwachen. Langfristig müssen Verteidiger das cyberkriminelle Ökosystem kontinuierlich beobachten, um aufkommende Bedrohungen zu antizipieren und Sicherheitsrichtlinien und -praktiken entsprechend anzupassen.
Mit Blick auf die Zukunft geht die Insikt Group davon aus, dass MaaS Lumma und sein Affiliate-Netzwerk aktiv bleiben werden, da sie aufgrund ihrer technischen Raffinesse, der schnellen Einführung neuer Techniken und ihrer nachgewiesenen Widerstandsfähigkeit seit langem ein Vorreiter im cyberkriminellen Ökosystem sind, was sich in ihrer Fähigkeit zeigt, die Infrastruktur innerhalb weniger Tage nach einer größeren Razzia der Strafverfolgungsbehörden wiederherzustellen. Während die langfristigen Auswirkungen solcher Operationen auf das MaaS-Affiliate-Netzwerk von Lumma ungewiss bleiben, gibt es keine Anzeichen dafür, dass Affiliates die Plattform verlassen oder dass sich praktikable Alternativen abzeichnen. Letztlich sind Lumma und seine Tochtergesellschaften ein Beispiel dafür, wie moderne cyberkriminelle Operationen als dezentrale Netzwerke funktionieren, in denen selbst effektive Störungen oft nur kurzfristige Rückschläge bringen. Um eine nachhaltige Eindämmung zu erreichen, sind anhaltender Druck der Strafverfolgungsbehörden und gezielte nachrichtendienstliche Anstrengungen erforderlich, um die sich entwickelnden Taktiken einzelner Mitgliedsorganisationen zu überwachen und ihnen entgegenzuwirken.
Wichtige Erkenntnisse
- Die Insikt Group deckte bisher nicht gemeldete Tools auf, die von Lumma-Partnern verwendet wurden, darunter ein geknacktes Tool zur Validierung von E-Mail-Anmeldeinformationen, das in Untergrundforen kursierte, und ein Phishing-Seitengenerator, der mit einem anderen Akteur verbunden war, der in mehreren Foren aktiv war.
- Es wurde beobachtet, dass Lumma-Partner mehrere Betrügereien parallel durchführten, von denen einige durch die Verwendung von Lumma ermöglicht wurden, wie z. B. die Verwendung gestohlener Protokolle für Mietbetrug. Darüber hinaus schienen mehrere Partner mehrere Infostealer gleichzeitig zu verwenden, darunter Vidar, Stealc und Meduza Stealer, um die Erfolgsquoten zu maximieren und Störungen durch Erkennung oder Strafverfolgungsmaßnahmen zu minimieren.
- Die Lumma-Tochtergesellschaften verlassen sich stark auf Untergrund- und spezialisierte Carding-Foren als wichtige operative Knotenpunkte. Sie nutzen diese Plattformen, um Mitarbeiter zu rekrutieren, kritische Ressourcen wie Verschlüsselungsdienste und Dienste zur Verbesserung der Privatsphäre zu erhalten und gestohlene Anmeldedaten, Finanzdaten und Infostealer-Protokolle über integrierte Schwarzmärkte, Betrugstools und von der Community unterstützte Support-Netzwerke effizient zu monetarisieren.
Hintergrund
Lumma, manchmal auch als LummaC2 bezeichnet, war im Jahr 2024 der am weitesten verbreitete Infostealer, basierend auf der Analyse der bösartigen Infrastruktur von Recorded Future, und obwohl es im Mai 2025 mit Strafverfolgungsmaßnahmen konfrontiert war, stellt es weiterhin eine erhebliche Bedrohung dar, da es aktiv Daten von Einzelpersonen, Organisationen und Regierungen exfiltriert. Während Infostealer wie Lumma mittlerweile eine bekannte Bedrohung in der Cybersicherheitslandschaft sind, bleiben viele Fragen offen: Wie sieht ein typischer Tag für einen Infostealer-Partner aus? Wie arbeiten sie, wer sind sie, an welchen anderen Aktivitäten sind sie beteiligt, wo haben sie ihren Sitz und wie werden die gestohlenen Protokolle letztendlich verwendet?
In den letzten zwölf Monaten (zweite Hälfte des Jahres 2024 bis erste Hälfte des Jahres 2025) hat die Insikt Group eine umfassende Untersuchung eines breiten Netzwerks von Lumma-Tochtergesellschaften durchgeführt, die in mehreren Ländern tätig sind. Gestützt auf eine breite Palette von Informationsquellen, darunter zwei Leitfäden für Affiliates (siehe Abbildung 1), Recorded Future Malware Intelligence, Recorded Future Identity IntelligenceMalware-Protokolle und andere proprietäre Ermittlungsmethoden, hat Insikt Group detaillierte, einzigartige Einblicke in die Abläufe und das Handwerk dieser Affiliates gewonnen.
Die Ergebnisse werden in zwei Abschnitten vorgestellt: Der erste untersucht die technischen Ökosysteme der verbundenen Unternehmen und beschreibt den Einsatz von Techniken zum Diebstahl von Informationen, bevorzugte Tools und Dienste sowie wiederkehrendes Betriebsverhalten. Der zweite untersucht, wie Lumma-Tochtergesellschaften in die breitere Schattenwirtschaft eingebettet sind. Es analysiert ihre Teilnahme an Cybercrime-Foren, die Verwendung zusätzlicher Infostealer-Malware-Familien und die Beteiligung an anderen Arten von Online-Betrug und Betrug.
Bedrohungsanalyse
Betriebliche Infrastruktur und Handwerk
Dienstleistungen zur Verbesserung der Privatsphäre
Proxy-Dienste
Die Insikt Group beobachtete, dass mehrere Lumma-Tochtergesellschaften verschiedene Proxy-Dienste nutzten, die in Tabelle 1 aufgeführt sind. Pia Proxy war der am häufigsten genutzte Dienst. Proxys können für legitime Zwecke wie Datenschutz und Forschung verwendet werden, aber sie werden häufig von Cyberkriminellen ausgenutzt, um Identitäten zu verschleiern, eine Erkennung zu vermeiden und Einschränkungen zu umgehen. Einige Dienste, wie unter anderem ASocks und das Malware-basierte FACELESS, wurden offen in Cybercrime-Foren vermarktet; ASocks wurde mit gefälschten VPNs in Verbindung gebracht , die Android-Geräte in Proxys umwandeln , während FACELESS Malware nutzt, um IoT-Geräte für den gleichen Zweck zu kapern. Die Insikt Group bewertete die Proxy-Dienste nach Typ auf der Grundlage mehrerer Kriterien, einschließlich der Frage, ob sie in cyberkriminellen Foren beworben wurden.
Tabelle 1: Von Lumma-Tochtergesellschaften genutzte Proxy-Dienste (Quelle: Recorded Future)
Bemerkenswert ist, dass Lumma Anfang 2024 mit dem GhostSocks-Team zusammenarbeitete, einem Proxy-Plugin für Privathaushalte, das es Affiliates ermöglicht, SOCKS5-Proxys von infizierten Bots zu erstellen, wie über den offiziellen Kanal von Lumma angekündigt wurde (siehe Abbildung 2) (1, 2). Bis 2025 erweiterte Lumma dieses Angebot und bietet Affiliates Backconnect-Proxy-Zugriff auf kompromittierte Rechner. Dies ermöglichte es Bedrohungsakteuren, Angriffe durchzuführen, die scheinbar vom Gerät des Opfers ausgingen, und verbesserte so ihre Fähigkeit, Zugriffskontrollen wie den Cookie-basierten Schutz von Google zu umgehen, einen Mechanismus, den Lumma routinemäßig ausnutzt, um abgelaufene Token aufzufrischen.
In mindestens einem Fall identifizierte die Insikt Group einen Lumma-Partner, der mit der Build-ID vcs1q5 in Verbindung stand – und in den Jahren 2022 und 2023 in cyberkriminellen Foren wie Cracked, Nulled, Sinisterly, Eternia und Cracking als "blackowl23" bekannt war – unter Verwendung von IP-Adressen, die mit dem Ngioweb-Botnet verbunden sind. Dieses Botnet wurde zuvor mit dem cyberkriminellen Proxy-Dienst NSOCKS sowie anderen wie VN5Socks und Shopsocks5 in Verbindung gebracht . Die zugehörigen IP-Adressen, die aufgrund öffentlicher Meldungen und anderer Maßnahmen zur Risikominderung wahrscheinlich nicht mehr Teil des Botnets sind, sind in Anhang A aufgeführt. Viele der IP-Adressen wurden zuvor von der Insikt Group validiert und öffentlich berichtet .
VPN-Dienste
Laut einer von der Insikt Group durchgeführten Untersuchung nutzten alle analysierten Lumma-Tochtergesellschaften VPN-Dienste in irgendeiner Weise, wobei viele mehrere Anbieter nutzten. Eine Auswahl der VPN-Dienste, die von diesen verbundenen Unternehmen genutzt werden, ist in Tabelle 2 dargestellt.
Tabelle 2: Von Lumma-Partnern im vergangenen Jahr genutzte VPN-Dienste (Quelle: Recorded Future)
Anti-Erkennung und Browser mit mehreren Konten
Lumma-Tochtergesellschaften verlassen sich häufig auf spezielle, datenschutzorientierte und erkennungssichere Browser (siehe Tabelle 3), um sich der Identifizierung zu entziehen, Sicherheitsmaßnahmen zu umgehen und mehrere betrügerische Konten gleichzeitig zu verwalten. Diese Tools ermöglichen es den Bedrohungsakteuren, die Betriebssicherheit (OPSEC) aufrechtzuerhalten, indem sie ihre wahre Identität, ihren Standort und ihre digitalen Fingerabdrücke verschleiern. Zu den am weitesten verbreiteten Browsern, die von Lumma-Partnern verwendet werden, gehört Dolphin, der weithin als einer der besten Anti-Erkennungsbrowser anerkannt ist, der explizit auf die unentdeckte Verwaltung mehrerer von Bedrohungsakteuren kontrollierter Konten zugeschnitten ist. Die Fähigkeiten von Dolphin werden von Adspower, Hidemyacc und Kameleo widergespiegelt, die in ähnlicher Weise nahtlose Vorgänge mit mehreren Konten ermöglichen und dadurch die betriebliche Effizienz und Anonymität verbessern. Octo Browser, ein weiteres bekanntes Tool unter Cyberkriminellen, bietet eine fortschrittliche Fingerabdruckmaskierung, die die Bemühungen von Strafverfolgungsbehörden und Threat Intelligence-Experten weiter erschwert, Bedrohungsaktivitäten bis zu ihrer Quelle zu verfolgen.
Der Brave-Browser wurde zwar in erster Linie für eine verbesserte Privatsphäre der Benutzer und nicht für einen direkten Schutz vor Erkennung entwickelt, spricht aber aufgrund seiner robusten integrierten Sicherheits- und Datenschutzfunktionen, wie z. B. aggressives Blockieren von Werbung und Trackern, Bedrohungsakteure an. Obwohl der datenschutzorientierte Ansatz weniger explizit auf die Verwaltung mehrerer Konten zugeschnitten ist, bietet er einen wertvollen Basisschutz für Bedrohungsakteure, die online anonym bleiben wollen.
Tabelle 3: Anti-Detect-Browser für die Verwaltung mehrerer Konten, die von Lumma-Partnern verwendet werden (Quelle: Recorded Future)
Hosting-Anbieter
Während Lumma über sein MaaS-Angebot die Kerninfrastruktur von C2 bereitstellt, verlassen sich seine verbundenen Unternehmen auf separate Hosting-Anbieter, die wahrscheinlich darauf abzielen, Phishing-Bemühungen, die Bereitstellung von Nutzlasten und andere böswillige Aktivitäten zu unterstützen. Viele der Hosting-Anbieter, die mit den analysierten Lumma-Partnern in Verbindung stehen, scheinen legitim zu sein, aber einige stachen dadurch hervor, dass sie sich scheinbar direkt an Cyberkriminelle richten und böswillige Aktivitäten ermöglichen, darunter AnonRDP, Bulletproof Hosting und Hostcay, die von der Lumma-Tochtergesellschaft verwendet wurden, die mit der Build-ID re0gvc verbunden ist.
AnonRDP
AnonRDP (anonrdp[.]com) ist ein selbsternannter Bulletproof-Hosting-Provider, der sich auf anonyme VPS- und RDP-Dienste spezialisiert hat, mit einem starken Fokus auf Datenschutz und Widerstand gegen Takedown (siehe Abbildung 3). Es erfordert keine Identitätsprüfung und akzeptiert nur Kryptowährungszahlungen wie Bitcoin und Monero, die über den Zahlungsdienstleister NOWPayments und angeblich die Kryptowährungsbörse ChangeNOW abgewickelt werden . Die Toleranz gegenüber böswilligen Aktivitäten wird durch Werbung in Deep-Web-Foren wie BreachForums, Hack Forums, Nulled und Patched weiter bestätigt . Wie in Abbildung 3 dargestellt, erkennt die Website ausdrücklich die Unterstützung von Aktivitäten wie das Hosten, Verteilen oder Steuern von Botnets, Remote Access Trojanern (RATs), Phishing, betrügerischen Inhalten, Spam und mehr an. Öffentlichen Berichten zufolge wird AnonRDP von Yashvir Keshave betrieben , einer Person mit einer bekannten Geschichte der Beteiligung am Untergrund-Ökosystem, einschließlich der Erstellung von Konfigurationen (Konfigurationen), Cracking-Tools und dem Handel mit digitalen Konten.
Nach der Verhaftung von Yuri Meruzhanovich Bozoyan, Mitbegründer und CEO der Aeza Group LLC, am 1. April 2025 stellte die Insikt Group fest, dass AnonRDP versucht hatte, Aeza-Kunden mit 50 % Rabatt abzuwerben. Das Ausmaß des Erfolgs der Wilderei bleibt ungewiss.
Kugelsicheres Hosting
In ähnlicher Weise kann Bulletproof Hosting (bulletproofhosting[.]org) vermarktet sich selbst als datenschutzorientierter Offshore-Hosting-Anbieter, der eine anonyme, takedown-resistente Infrastruktur anbietet, Kryptowährungszahlungen akzeptiert und keine Ausweisanforderungen hat (siehe Abbildung 4). Die Website fördert nachsichtige Inhaltsrichtlinien und erlaubt ausdrücklich nicht jugendfreies Material, Piraterie, Glücksspiel und andere Inhalte, die normalerweise von herkömmlichen Hosts verboten werden. Es behauptet, sich gegen DMCA-Benachrichtigungen, Missbrauchsbeschwerden und Spamhaus-Einträge zu verteidigen, indem es Techniken wie FastFlux verwendet und in Offshore- oder gehärteten Einrichtungen mit minimaler regulatorischer Aufsicht hostet. Mit einem 24/7-Support, der von selbsternannten "Cyber-Tech-Experten" verwaltet wird, ist die Plattform als widerstandsfähiger Service positioniert, der sich an Benutzer richtet, die sowohl Anonymität als auch konsistente Verfügbarkeit suchen, was oft für Bedrohungsakteure und Betreiber umstrittener Inhalte attraktiv ist.
GastgeberCay
HostCay (hostcay[.]com) ist ein datenschutzorientierter Offshore-Hosting-Anbieter, der 2023 gegründet wurde und von Netacel Inc., einer auf den Seychellen registrierten internationalen Geschäftsgesellschaft (IBC), betrieben wird. HostCay ist auf Hosting-Dienste spezialisiert, bei denen die Meinungsfreiheit, die Unterstützung von Whistleblowern und der Widerstand gegen Anfragen zur Entfernung von Inhalten im Vordergrund stehen (siehe Abbildung 5). Es ist bekannt für seine Unterstützung für anonyme Krypto-Zahlungen, keine Ausweisanforderungen und einen starken Schutz der Meinungsfreiheit.
Es wurde auch beobachtet, dass Lumma-Partner zahlreiche legitime Hosting-Anbieter und -Dienste nutzen, darunter die Datei-Hosting-Plattform MEGA (mega[.]nz), der Datei- und Textfreigabedienst Temp[.]pst (temp[.]sh), und der Image-Hosting-Dienst ImgBB (imgbb[.]com). Sie haben auch verschiedene URL-Kürzungsdienste wie shorturl[.]bei und free-url-shortener[.]rb[.]gy.
Exploit- und Verschlüsselungsdienste
Ein bemerkenswerter Dienst, der den Betrieb von Lumma unterstützt, wird von einem Akteur namens "@cryptexxx" betrieben. Anstatt direkt ein Lumma-Partner zu sein, ist @cryptexxx Betreiber eines Verschlüsselungs- und Exploit-Dienstes namens Hector (der über die Domain hector[.]su) , die sich unter anderem an Malware-Verteiler richtet (siehe Abbildung 6). Der HTML-Inhalt von hector[.]Su enthält Meta-Schlüsselwörter wie crypt, exe, exploits, chrome, bypass, lnk, xll doc xls url pdf builder docx macro oder popup -, die auf ein breites Toolkit zum Erstellen bösartiger Payloads in verschiedenen Dateiformaten hinweisen (von Office-Makros bis hin zu Chrome-Exploits). In Forendiskussionen wird bestätigt, dass dieser Dienst FUD-Dropper (Fully Undetectable) und Dokumenten-Exploits für die Verbreitung von Malware bereitstellt. Zum Beispiel weist ein Benutzer eines Hacker-Forums andere explizit darauf hin, "den URL-Exploit auf hector[] zu sehen.su" als Ressource für einen an Gmail anhängbaren FUD-Exploit. Solche Exploits nehmen oft die Form von als Waffe verwendeten Office-Dateien an, wie z. B. bösartige Excel-Add-In-Dateien (.XLL) oder mit Makros versehene Dokumente, die die Lumma-Nutzlast einbetten können und so konzipiert sind, dass sie E-Mail-Scanner und Virenschutz umgehen.
Jüngste Erkenntnisse zeigen, wie diese Instrumente in der Praxis eingesetzt werden. Mitte 2025 bewarb ein Untergrundanbieter einen aktualisierten Office-Exploit, der "auf dem neuesten Stand ist, im Jahr 2025 funktioniert und an Gmail plus FUD angehängt werden kann", und prahlte ausdrücklich damit, dass er die Filter von Gmail umgehen kann. Das gleiche Angebot hebt auch eine Windows Defender-Laufzeitumgehung hervor, wobei ein AV-Scan-Bericht 0/26-Erkennungen anzeigt. Das bedeutet, dass ein Lumma-Partner eine trojanisierte Datei (z. B. eine Excel-Datei .xll) generieren könnte. -Datei oder eine bösartige Verknüpfungs-/URL-Datei), die den Stealer bereitstellt und gleichzeitig sowohl das Scannen von E-Mail-Gateways als auch den Virenschutz von Endpunkten umgeht.
Durch die Nutzung des Verschlüsselungsdienstes und des Exploit-Builders von @cryptexxx lagert der Partner im Wesentlichen die schwierigen Aspekte der Tarnung und Bereitstellung aus. Es ist ein klares Beispiel für den kooperativen Charakter von LummaC2-Operationen: Der Malware-Entwickler stellt die Infostealer-Malware zur Verfügung, der Service Operator (@cryptexxx) stellt ein Verschleierungs- und Exploit-Toolkit zur Verfügung, und der Partner verwendet diese Tools, um die Nutzlast an die Opfer zu verteilen.
E-Mail-verknüpfte Dienste und Tools
Die Insikt Group beobachtete, dass mehrere Lumma-Tochtergesellschaften eine Reihe von E-Mail- und Spam-Diensten nutzten, darunter ein Tool zur Validierung von Anmeldeinformationen namens "EMAIL SOFTWARE 1.4.0.9 cracked by Maksim" und ein Phishing-Tool zur Seitenerstellung namens "DONUSSEF", die beide wahrscheinlich in mindestens einem bestätigten Fall eingesetzt wurden.
E-MAIL-SOFTWARE 1.4.0.9 von Maksim geknackt
EMAIL SOFTWARE 1.4.0.9 cracked by Maksim ist eine gecrackte Version eines Windows . NET-basiertes Tool zur Überprüfung von E-Mail-Anmeldeinformationen (siehe Abbildung 7). Es wurde entwickelt, um E-Mail- und Passwortkombinationen mit Mailservern unter Verwendung von Protokollen wie IMAP und POP3 zu validieren. Benutzer können große Listen von E-Mail-Anmeldeinformationen (oft als "Kombinationslisten" bezeichnet) eingeben, um zu überprüfen, welche Kombinationen gültig sind. Das Tool ermöglicht es Benutzern auch, nach bestimmten Schlüsselwörtern innerhalb von E-Mail-Inhalten zu suchen. Das Tool wird als passwortgeschütztes .rar Archiv in verschiedenen Hacking- und Cracking-Foren (wie DemonForums oder XReactor), wobei Benutzer von Preisen von bis zu 250 US-Dollar auf Untergrund-Marktplätzen berichten.
Das Tool verfügt über eine Benutzeroberfläche mit mehreren Konfigurationsoptionen, darunter eine Statusübersicht der verarbeiteten E-Mail-Adressen, ein Control Panel zum Starten oder Stoppen der Validierung und Proxy-Management-Funktionen, um nur einige Funktionen zu nennen (siehe Abbildung 8).
Abbildung 8: Grafische Benutzeroberfläche (GUI) der von Maksim geknackten E-Mail-Software 1.4.0.9
(Quelle: Recorded Future)
Die Insikt Group geht davon aus, dass die Lumma-Tochtergesellschaft blackowl23 das Tool verwendet hat oder weiterhin verwendet, um gestohlene Anmeldedaten zu validieren, die dann unter anderem in dem nachfolgenden Immobilienbetrug verwendet werden, der im Abschnitt "Beteiligung an Immobilienbetrug" von blackowl23 beschrieben ist. Basierend auf den identifizierten Konfigurationen ist es möglich, dass der Partner das Tool angepasst hat.
DONUSSEF
Die Insikt Group identifizierte ein weiteres Tool, bekannt als "DONUSSEF", das in einem öffentlich zugänglichen Video demonstriert wurde, das zum Zeitpunkt der Analyse auf Google Drive gehostet wurde (siehe Abbildung 9). Es wird angenommen, dass das Tool von blackowl23 verwendet wird, um Phishing-Seiten über die Befehlszeile mit AIzu generieren. Es fordert den Benutzer auf, URLs, eine Betreffzeile und eine kurze Beschreibung des beabsichtigten Phishing-Inhalts einzugeben, und erstellt dann eine HTML-Datei als Ausgabe.
Die gesamte Bandbreite der Phishing-Seiten, die das Tool generieren kann, bleibt unklar, da die Insikt Group es nicht unabhängig testen konnte. In der Demo wurde gezeigt, dass nur PayPal-Phishing-Seiten erstellt wurden (siehe Abbildung 10). Aufgrund der Nichtverfügbarkeit der eigentlichen HTML-Seiten war die Insikt Group nicht in der Lage, deren Wirksamkeit zu beurteilen oder festzustellen, ob sie in bekannten Kampagnen erschienen sind.
Durch weitere Ermittlungen identifizierte die Insikt Group einen YouTube-Kanal, der wahrscheinlich mit dem mutmaßlichen Schöpfer von DONUSSEF in Verbindung steht. Der Schauspieler nutzte den Kanal, um mindestens zwei zusätzliche Tools zu demonstrieren: eines, das als E-Mail-Absender mit einer 100-prozentigen Zustellungsrate im Posteingang vermarktet wird, und ein anderes für SMS-Spamming (im Video als "ULTRA-checker.py" bezeichnet). Beide Videos wurden am 18. Dezember 2022 von einem Gerät mit französischsprachigen Einstellungen hochgeladen. In einem der Demo-Videos verwendete der Schauspieler zwei E-Mail-Konten, ussefescobar@seznam[ .]cz und ussefakkar@outlook[.]com, von denen angenommen wird, dass sie mit dem Schauspieler in Verbindung stehen.
Das ULTRA-checker.py Tool enthält Verweise auf zwei Telegram-Kanäle: @donussef und @rdpvendor. Mindestens eines dieser Konten scheint in Telegram-Communities aktiv zu sein, die mit Spam-Tools verbunden sind (siehe Abbildung 11). Die Insikt Group fand keine weiteren Verbindungen zwischen dem mutmaßlichen Schöpfer von DONUSSEF und blackowl23.
Weitere Dienstleistungen für E-Mail-Absender und Lead-Generierung
Die Insikt Group identifizierte mehrere andere, oft legitime E-Mail-bezogene Dienste, die von Lumma-Tochtergesellschaften für verschiedene Zwecke verwendet werden, darunter Joz Data (jozdata[.]com), Mailchimp (mailchimp[.]com), Spamir (spamir[.]fr), und Mandrill (mandrillapp[.]com), unter anderem. Joz Data bietet validierte, segmentierte E-Mail-Listen für Marketing und Lead-Generierung. Mailchimp ist eine legitime Plattform zum Entwerfen und Verwalten von E-Mail-Kampagnen. Spamir bietet Tools für die Massenzustellung von E-Mails und SMS, die oft mit Spam- oder Phishing-Aktivitäten in Verbindung gebracht werden, obwohl sie als Test-Toolkit präsentiert werden. Mandrill, ein kostenpflichtiges Add-on für Mailchimp, ist eine Transaktions-E-Mail-API, die zum Senden von ereignisgesteuerten Einzelnachrichten wie Passwort-Reset und Bestellbestätigungen über SMTP oder API verwendet wird.
AVCheck und Alternativen
Wie viele Bedrohungsakteure, die Malware oder verwandte Infrastrukturen einsetzen, suchen die Lumma-Tochtergesellschaften aktiv nach Tools, um die Erkennung über Standard-Sandbox-Umgebungen hinaus zu testen. In den letzten zwölf Monaten beobachtete die Insikt Group mehrere Tochtergesellschaften, die mindestens zwei solcher Dienste nutzten: AVCheck (avcheck[.]netto), die im Mai 2025 von den Strafverfolgungsbehörden beschlagnahmt wurde; und in jüngerer Zeit KleenScan (kleenscan[.]com). Es gab auch Anzeichen dafür, dass mindestens ein Partner avscan[.]netto, Obwohl ihr Vorhandensein und ihre Art zum Zeitpunkt der Analyse nicht bestätigt werden konnten, da die Domain anscheinend zum Verkauf angeboten wurde.
KleenScan ist ein alternativer Malware-Scan-Dienst, der häufig von Cyberkriminellen verwendet und vermarktet wird, um bösartige Dateien, URLs und Domains gegen mehrere Antiviren-Engines zu testen (siehe Abbildung 12). Es bietet eine Benutzeroberfläche, eine API und einen Befehlszeilen-Client sowie sogar einen Telegram-Bot (@kleenscanofficialbot) für Uploads und Echtzeit- oder Laufzeitscans, während es ausdrücklich eine "No Distribution"-Richtlinie verspricht, damit eingereichte Samples nicht an Antiviren-Anbieter weitergegeben werden. Obwohl die Insikt Group vor der Beschlagnahmung von AVCheck im Mai 2025 beobachtete, dass Lumma-Partner KleenScan verwendeten, deuten öffentliche Berichte darauf hin , dass sich Cyberkriminelle aufgrund der Beschlagnahmung zunehmend Plattformen wie KleenScan als Alternative zugewandt haben. Bemerkenswert ist, dass KleenScan für hector[.]Su (siehe Abbildung 12), einen Exploit-Broker, der im Abschnitt Exploit- und Verschlüsselungsdienste näher erläutert wird.
Telefon- und SMS-Dienste
Lumma-Tochtergesellschaften missbrauchen virtuelle Telefon- und SMS-Dienste (siehe Tabelle 4) wie OnlineSim, SMS-Activate und Zadarma stark. Diese Plattformen bieten Wegwerf-Telefonnummern für SMS oder Sprachverifizierung, die die Bedrohungsakteure verwenden, um OTP-basierte Sicherheit zu umgehen und gefälschte Konten zu erstellen, ohne persönliche Identifikatoren zu verwenden. Lumma-Partner können automatisch 2FA-Codes oder Aktivierungs-PINs auf virtuellen Nummern erhalten, die es ihnen ermöglichen, Malware-Verbreitungsseiten, Cloud-Laufwerke oder Messaging-Konten zu registrieren, ohne ihre echten Telefonleitungen preiszugeben. Diese Identitätsverschleierung ist im Lumma-Ökosystem von entscheidender Bedeutung, da sie Zuordnungs- und Löschungsbemühungen vereitelt, indem sie den Besitz der Infrastruktur vorübergehend erscheinen lässt.
In der Praxis hilft die Nutzung dieser Dienste zur OTP-Umgehung und zur Erstellung gefälschter Konten den Lumma-Crews, ihre Angriffsfläche zu vergrößern. Mit Wegwerf-SMS-Nummern können Angreifer die SMS-basierte Zwei-Faktor-Authentifizierung umgehen, indem sie Einmalpasswörter an von Angreifern kontrollierte Posteingänge umleiten. Das bedeutet, dass selbst wenn ein gestohlenes Konto durch SMS 2FA geschützt ist, Lumma-Partner versuchen können, das OTP auf eine von ihnen kontrollierte virtuelle Nummer umzuleiten, wodurch der Schutz effektiv aufgehoben wird. Dienste wie Zadarma (ein VoIP-Anbieter) ermöglichen es Kriminellen außerdem, Anrufe oder Texte über virtuelle Leitungen entgegenzunehmen oder sogar gefälschte Sprachanrufe als Teil von OTP-Abhörbots und Vishing-Schemata durchzuführen. Im Rahmen des Lumma-Partnerprogramms fördern Leitfäden und Community-Chatter die Verwendung dieser Tools für die Betriebssicherheit, von der Registrierung von Wegwerf-E-Mail- und Telegram-Konten bis hin zur Einrichtung von C2-Panels oder Betrugszahlungskonten.
Tabelle 4: Von Lumma-Partnern genutzte Telefon- und SMS-Dienste (Quelle: Recorded Future)
Messaging-Plattformen
Die Tochtergesellschaften von Lumma integrieren mehrere Tools für sicheres Messaging und den Informationsaustausch in ihre täglichen Arbeitsabläufe, um die Betriebssicherheit zu erhöhen, die Anonymität zu wahren und den digitalen Fußabdruck zu minimieren. Affiliates verwenden häufig uTox, einen dezentralen Peer-to-Peer-Messaging-Client, der eine Ende-zu-Ende-Verschlüsselung über das Tox-Protokoll verwendet. Dieses Tool ermöglicht eine persistente, sichere Kommunikation, unterstützt Text-, Sprach- und Videonachrichten und wird häufig mit Tor-Proxys kombiniert, um Affiliate-Identitäten zu verbergen und Abhängigkeiten von zentralen Servern zu vermeiden.
Mobile Affiliates innerhalb des Lumma-Ökosystems bevorzugen sichere, XMPP-basierte Android-Anwendungen wie Xabber und c0nnect[.]Pro. Beide Apps bieten verschlüsselte Kommunikation über Off-the-Record-Verschlüsselung, Multi-Account-Management und Kompatibilität mit privaten, kontrollierten XMPP-Servern, was sie ideal für die diskrete Koordination unterwegs macht. Affiliates konfigurieren diese Anwendungen oft so, dass sie zusammen mit Tor-Proxys ausgeführt werden, wodurch Metadaten weiter verschleiert und die digitale Gefährdung reduziert wird.
In Szenarien, in denen flüchtige, sensible Informationen wie Anmeldeinformationen, Passwörter oder Anweisungen übertragen werden müssen, verlassen sich Lumma-Tochtergesellschaften häufig auf Privnote, einen webbasierten Dienst, der verschlüsselte Notizen generiert, die sich nach einmaligem Lesen selbst zerstören. Diese Funktion reduziert den potenziellen forensischen Fußabdruck der Tochtergesellschaft erheblich, da keine persistenten Aufzeichnungen hinterlassen werden, und ermöglicht einen sicheren, schnellen Austausch von Betriebsdetails.
Zusammen bilden diese Tools eine mehrschichtige Kommunikationsarchitektur, die von den Lumma-Tochtergesellschaften eingesetzt wird und die dauerhafte Kommunikation, mobile Flexibilität und kurzlebigen sicheren Austausch effektiv ausbalanciert, um Risiken zu minimieren und die Tarnung zu verbessern.
Social-Media-Optimierung
In mindestens einem Fall beobachtete die Insikt Group, dass eine Lumma-Tochtergesellschaft den Dienst Bosslike (bosslike[.]ru), die behauptet, kostenlose und schnelle Boosts für Likes auf Plattformen wie Instagram, VK und TikTok anzubieten (siehe Abbildung 13), wahrscheinlich zur Unterstützung von Betrugsaktivitäten.
Einbettung von Affiliates in das cyberkriminelle Ökosystem
Beteiligung des Forums
Das Affiliate-Ökosystem von Lumma lebt von Untergrundforen, die als Knotenpunkte für Zusammenarbeit, Ressourcen und Marktplätze fungieren. Russischsprachige Cybercrime-Foren wie XSS und Exploit dienen als Startrampen für Lummas MaaS, und sie sind der Ort, an dem der Stealer ursprünglich beworben und von der Community überprüft wurde. Diese Foren ziehen technisch versierte Bedrohungsakteure an und verleihen neuen Malware-Angeboten durch Reputationssysteme und Moderatorenaufsicht Glaubwürdigkeit. Affiliates besuchen sie nicht nur, um Lumma-Builds zu erhalten, sondern auch, um mit vertrauenswürdigen Treuhand- und Schiedsgerichtsdiensten in Kontakt zu treten, um sicherere Transaktionen beim Kauf von Tools oder bei der Beilegung von Streitigkeiten mit Partnern zu gewährleisten. Das etablierte Vertrauen in Foren wie Exploit und XSS bietet eine zuverlässige Umgebung für Affiliates, um Geschäfte zu tätigen, von der Vermietung von Servern bis zur Lösung von Konflikten, unter der Aufsicht erfahrener Moderatoren.
Gleichzeitig können Cybercrime-Communities für den Massenmarkt wie LolzTeam (zelenka[.]Guru) sind zu einer Brutstätte für die Rekrutierung und Ausbildung der Fußsoldaten von Lummas Operationen geworden. Diese leichter zugänglichen Foren beherbergen spezielle Abschnitte für "Trapfer", Bedrohungsakteure, die sich auf die Verbreitung von Infostealer-Malware spezialisiert haben, und werden aktiv genutzt, um Affiliate-Teams zusammenzustellen und Neulinge zu schulen. Auf LolzTeam zum Beispiel werben erfahrene Kriminelle für Infostealer-Partnerprogramme, die Anfängern alles bieten, was sie brauchen, um mit der Verbreitung von Malware zu beginnen. In einem Fall bot ein Team von LolzTeam neuen Rekruten kostenlose verschlüsselte Lumma-Builds und sogar SEO-Unterstützung an, indem es einen Prozentsatz der Gewinne aus gestohlenen Kryptowährungs-Assets einnahm. Diese niedrige Einstiegshürde, kombiniert mit in Foren veröffentlichten Tutorials zu Betrugstechniken und Betriebssicherheit, macht Plattformen wie LolzTeam zu einem Arbeitskräftepool für die Verbreitung von Infostealern. Die von der Community betriebene Überprüfung der Foren, einschließlich Regeln gegen das Ansprechen bestimmter Regionen und öffentliches Feedback zu Programmen, hilft den Affiliates weiter, effektive und "akzeptable" Taktiken zu erlernen. Gängige Betrugsmethoden werden in diesen Foren häufig diskutiert und populär gemacht, was den Lumma-Partnern einen Einblick in Monetarisierungstricks und Strategien zur Manipulation von Opfern gibt.
Am wichtigsten ist vielleicht, dass diese Untergrundforen vorgefertigte Marktplätze und Dienstleistungen bieten, die Lumma-Partner nutzen, um gestohlene Daten zu monetarisieren und ihre Kampagnen zu optimieren. Infostealer-Protokolle sind sehr gefragt, und Foren verbinden Affiliates mit geschäftigen Marktplätzen, auf denen diese Daten gekauft und verkauft werden. Russischer Markt (rm1[.]bis), Zum Beispiel handelt es sich um einen automatisierten Shop, der über Forenkreise zugänglich ist und aufgrund seines massiven Inventars und seiner Bequemlichkeit beim Kauf mit einem Klick als "Amazon der gestohlenen Anmeldedaten" bezeichnet wurde. Bis Ende 2024 war Lumma mit rund 92 % der gestohlenen Log-Einträge zur dominierenden Quelle für Anmeldeinformationen auf dem russischen Markt geworden, was unterstreicht, wie umfangreich Lumma-Partner ihre Beute auf solchen Plattformen abladen, um Profit zu machen. Andere Veranstaltungsorte wie der LolzTeam-eigene Marktplatz und xleet[.]Kriegsgefangener Fügen Sie in ähnlicher Weise Abschnitte für Infostealer-Protokolle, kompromittierte Konten und digitale Güter hinzu, die es Partnern ermöglichen, Daten von Lumma-Infektionen schnell an den Meistbietenden zu verkaufen. Über den Datenverkauf hinaus verbinden Foren-Marktplätze Lumma-Partner mit Initial Access Brokern und Finanzbetrugsdiensten, die dabei helfen, gestohlene Informationen in Bargeld umzuwandeln. Affiliates können Käufer für Unternehmens-Anmeldedaten finden oder Geldwäsche- und Auszahlungsdienste in Anspruch nehmen, die in diesen Foren beworben werden.
Untergrundforen dienen gleichzeitig als zentrale Anlaufstelle für die technische und operative Unterstützung, die Lumma-Mitglieder benötigen. Spezielle Threads , die von den Lumma-Entwicklern oder Peer-Community-Mitgliedern betrieben werden, bieten technische Unterstützung, Update-Ankündigungen und Ratschläge zur Fehlerbehebung in Echtzeit. Das bedeutet, dass sich ein Partner an Foren-Communities wenden kann, um Hilfe bei der Builder-Konfiguration zu erhalten, Tipps zur Umgehung von Antivirenprogrammen zu erhalten oder Informationen über die Entfernung von Strafverfolgungsmaßnahmen auszutauschen. Die Foren hosten auch eine Reihe von Malware-nahen Diensten, die für die Durchführung von Stealth-Kampagnen von entscheidender Bedeutung sind. Anbieter von kugelsicherem Hosting, VPNs und Traffic-Verteilung versammeln sich in allen wichtigen Foren. Dieselben Dienstanbieter werben häufig auf mehreren Websites, was es für Partner einfach macht, widerstandsfähige Server und Webdomänen zum Hosten von Lumma-Malware zu erhalten. Verschlüsselungsdienste sind gleichermaßen zugänglich; Zum Beispiel werden der beliebte Cassandra-Crypter und andere auf Foren-Marktplätzen beworben, die es Affiliates ermöglichen, Lumma-Payloads kontinuierlich zu verschlüsseln und neu zu verpacken, um der Antivirus-Erkennung zu entgehen.
Es gibt ein reichhaltiges Ökosystem von Angeboten, wie z. B. Exploit-Kits, gefälschte Dokumentvorlagen, Spambot-Vermietungen und Anmeldeinformationsprüfer, die Affiliates von diesen Communities beziehen können, um ihre Abläufe zu verbessern. Zusammen bieten diese Foren den Lumma-Partnern eine umfassende Suite von Tools, die von der Community überprüft wurden. Dieser praktische und operative Wert ist der Grund, warum das Affiliate-Netzwerk von Lumma tief in Untergrundforen eingebettet ist: Sie bieten nicht nur die Mittel zum Bereitstellen und Verstecken der Malware, sondern auch die Mechanismen, um von ihren Ergebnissen zu profitieren, und das alles innerhalb einer halbstrukturierten Community, die das Vertrauen unter Dieben stärkt.
Kardierereien
Lumma Stealer-Affiliates wenden sich an spezialisierte Carding-Shops wie b1ackstash[.]cc, stashpatrick[.]io, BriansClub (siehe Abbildung 15) (bclub[.]Zentimeter und briansclub[.]cm), und binsoficial666[.]activo[.]Mx um die gestohlenen Finanzdaten effizient zu monetarisieren. Die Insikt Group stellt fest, dass die Glaubwürdigkeit dieser Quellen sehr unterschiedlich ist. Shops wie BriansClub gelten als maßgeblich innerhalb des Zahlungsbetrugs-Ökosystems, während binsoficial666[.]activo[.]Mx hat einen sehr schlechten Ruf. Im Gegensatz zu allgemeinen Cybercrime-Boards widmen sich Carding-Websites dem Handel mit Zahlungsdaten und ziehen einen integrierten Kundenstamm von Betrügern an, die nach Kreditkartennummern, Bank-Logins und persönlichen Daten suchen. Lumma-Affiliates profitieren von dieser Nachfrage, indem sie frisch erworbene Kartenaufzeichnungen und "Fullz" in großen Mengen verkaufen und oft einen Prozentsatz für jeden Verkauf über das Treuhand- oder Shop-System des Forums verdienen. Im Wesentlichen ermöglichen Carding-Plattformen den Lumma-Affiliates, gestohlene Kartendaten schnell in Profit umzuwandeln, wobei High-Volume-Outlets wie BriansClub in der Vergangenheit mit Millionen von kompromittierten Karten gehandelt haben, die von Malware-Affiliates geliefert wurden.
Beyond sales, carding forums offer operational support for fraud that broader hacking forums do not. Lumma affiliates frequent these communities to learn and collaborate on card-not-present (CNP) fraud using stolen card credentials to buy goods or launder money online. The forums host vetted tutorials for abusing e-commerce sites and payment processors, helping thieves bypass anti-fraud measures. Members also advertise criminal services such as providing “drop” addresses (safe delivery points for goods bought with stolen cards) or converting illicit purchases into cash. Additionally, these forums supply validation tools and services critical to fraud operations. Lumma affiliates can purchase or access credit card checkers that automatically test which cards from their stealer logs remain valid and have credit available, ensuring they only spend time on live cards. They might also acquire Bank Identification Number (BIN) lists and other utilities, using the community’s pooled resources to maximize successful transactions. Carding sites enable Lumma affiliates to offload infostealer loot in bulk, complementing sales on broader crime forums. A single Lumma infection yields an expansive log of credentials, cookies, system data, and often multiple financial accounts; parsing and individually selling each asset can be labor-intensive. Carding marketplaces or associated breach data shops let affiliates resell entire stealer logs or specific datasets to other criminals who specialize in exploiting them. For example, high-value logs from Lumma, containing not just cards but bank account passwords or cryptocurrency wallet keys, are often posted on underground markets or offered via automated bot vendors shortly after exfiltration. This practice allows Lumma affiliates to monetize stolen information at scale: they can quickly sell bundles of fresh logs to brokers or fraud rings while focusing their own efforts on new infections. In tandem with general hacking forums, these carding forums provide the ecosystem for cashing out Lumma’s results. They offer a one-stop underground economy where affiliates convert stolen data into money through direct sales of CVVs and “fullz,” the provision of guidance and tools for fraudulent transactions, and the bulk resale of stolen logs. This significantly enhances both the profitability and practicality of Lumma operations.
Verwendung von zusätzlichen Infostealern
Die Insikt Group beobachtete, dass mehrere Lumma-Tochtergesellschaften neben Lumma auch andere Infostealer nutzten.
Meduza Stealer, Vidar und CraxsRAT, die von der wahrscheinlich in Mexiko ansässigen Lumma-Tochtergesellschaft verwendet werden
Der Partner, der mit der Lumma-Build-ID re0gvc verbunden ist, einem wahrscheinlich in Mexiko ansässigen Bedrohungsakteur, der unter mehreren Aliasen in verschiedenen Foren operiert, wurde dabei beobachtet, wie er die Meduza Stealer-Infrastruktur verwendet, die an die IP-Adresse 195 gebunden ist.133[.]18[.]15. Datenschutz Wie Lumma ist Meduza Stealer ein Windows-basierter MaaS-Infostealer, der entwickelt wurde, um Anmeldeinformationen, Browserdaten und Krypto-Wallets zu extrahieren und gleichzeitig der Erkennung durch Anti-Analyse- und Geofilter-Techniken zu entgehen.
Die Insikt Group identifizierte auch Indikatoren mit hoher Zuverlässigkeit, dass derselbe Bedrohungsakteur Vidar, einen Windows-basierten Infostealer, verwendet hat, zusammen mit Beweisen mit mittlerer Konfidenz, die auf die Verwendung von CraxsRAT, einem Android-basierten RAT, hindeuten, basierend auf Telegram-Profilbildern, die wahrscheinlich mit dem Partner verbunden sind (siehe Abbildung 17). Dies deutet zwar darauf hin, dass dieses verbundene Unternehmen möglicherweise auch auf mobile Geräte abzielte, aber die Insikt Group fand keine zugehörigen Proben, Infrastrukturen oder Kampagnen, um diese Aktivität zu bestätigen.
Stealc Verwendet von Lumma Affiliate suffergrime
Ein weiterer Partner, der mit den Lumma-Build-IDs test222 und eLMNFu in Verbindung steht, in verschiedenen Foren als "suffergrime" bekannt ist und unter mehreren anderen Aliasen arbeitet, darunter duckfuck, cryptplease, ultracool2201, borodach und dedo4ek, scheint StealC neben Lumma verwendet zu haben. Stealc ist ein modularer, ausweichender Informationsdieb, der in C geschrieben und als MaaS vertrieben wird. Genauer gesagt wurde beobachtet, dass Suffergrime mit dem Stealc-Management-Panel auf der URL hxxp://94[.]232[.]249[.]208/6A6FE9D70500FE64/main.php. Die Insikt Group geht davon aus, dass es sich bei der Tochtergesellschaft wahrscheinlich um einen spanischsprachigen Partner handelt, wobei Hinweise auf eine mögliche Herkunft in Südamerika hindeuten.
worldmix10ks Interesse an Wallet und Vilsa Stealer
Zusätzlich zu den oben genannten Fällen beobachtete die Insikt Group, dass ein Lumma-Partner, der mit der Build-ID 1dacrp in Verbindung steht und wahrscheinlich als "worldmix10k" bekannt ist, Interesse an zwei weiteren Stealern bekundete: einem "Wallet Stealer", der zuvor auf einem GitHub-Repository namens "poopybuthoop" gehostet wurde, und Vilsa Stealer, einem Infostealer, über den zuvor öffentlich berichtet worden war. Obwohl das GitHub-Repository zum Zeitpunkt der Analyse nicht mehr zugänglich war, wurde ein historischer Snapshot von Ecosyste aufbewahrt.
Bemerkenswert ist, dass eine Suche nach der Zeichenfolge "worldmix10k" die Insikt Group zu einem Lumma-Sample mit der Build-ID "1dacRP--worldmix10k" führte, das mit demselben verbundenen Unternehmen verknüpft war. In diesem Beispiel wurde techmindzs[.]leben und earthsymphzony[.]Heute als C2-Domains sowie eine SteamCommunity-URL hxxps://steamcommunity[.]com/profiles/76561199822375128, für die Auflösung von Dead Drops. Die Insikt Group konnte die genauen Infektionsketten im Zusammenhang mit der Probe nicht identifizieren.
Beteiligung an anderen Betrügereien
Die Analyse mehrerer Lumma-Partner in den letzten zwölf Monaten ergab, dass viele nicht nur mehrere Infostealer gleichzeitig verwenden, wie im Abschnitt Verwendung zusätzlicher Infostealer beschrieben, sondern wahrscheinlich auch in eine Vielzahl unterschiedlicher Betrugsoperationen verwickelt sind. Einer dieser Betrügereien, der mit der Lumma-Tochtergesellschaft blackowl23 in Verbindung steht, erregte besondere Aufmerksamkeit der Insikt Group und wird im Folgenden näher untersucht.
blackowl23s Verwicklung in Immobilienbetrug
Die Insikt Group hat Beweise aufgedeckt, die darauf hindeuten, dass blackowl23 in einen Immobilienbetrug verwickelt war, bei dem Mietangebote, die wahrscheinlich sowohl von Schauspielern erstellt als auch kompromittiert wurden, auf Plattformen wie der deutschen Website WG-Gesucht verwendet wurden, um Opfer dazu zu verleiten, Zahlungen vor Wohnungsbesichtigungen zu leisten. Im Rahmen dieses Schemas hat blackowl23 die E-Mail-Adressen immo-total[@]outlook[.]COM und mwimport[@]outlook[.]de (siehe Abbildung 19).
Genauer gesagt behauptete der Partner, "in der Vergangenheit schlechte Erfahrungen mit Leuten gemacht zu haben, die die Immobilie mieten wollten", und erklärte, dass "niemand da war, als sie zu der Immobilie kamen", was zu "abgesagten Geschäftsterminen, Zeit- und Geldverschwendung" führte. Unter dieser Begründung forderten sie die Opfer auf, Zahlungen per Booking.com zu leisten, mit der Behauptung, dass das Verfahren sicher sei und dass die Opfer eine Rückerstattung erhalten würden, wenn sie mit der Wohnung unzufrieden seien (siehe Abbildung 20). Bemerkenswert ist, dass derselbe URL-Pfad (property-aid-63785823-label-gen-832513841233), der bei dieser Aktivität beobachtet wurde , auch in der Endphase einer Mietbetrugskampagne zu sehen war, die von Fortian im Jahr 2024 gemeldet wurde. In diesem Fall wurden die Opfer dazu verleitet , Unterkünfte zu reservieren, und die verwendete Domain scheint eine Typosquatting-Variante zu sein, booking[.]eu-apt-buchung[.]Wohnungen, gehostet über Cloudflare.
Hallo
Leider nein, aber hier im Anhang dieser E-Mail haben Sie den booking.com Link, von wo aus Sie die Wohnung mieten und überprüfen können.
Nachdem wir die booking.com Bestätigung erhalten haben, dass der Mietvorgang und die Zahlung auf der Plattform abgeschlossen ist, können wir die Besichtigung bzw. den Einzug direkt in die Wohnung arrangieren.
Wir möchten Sie darauf hinweisen, dass das Mietverfahren durch booking.com gesichert ist und Sie bei Nichtgefallen die Wohnung noch am selben Tag problemlos direkt auf Ihr Bankkonto zurückerhalten.
Hier ist der booking.com Link, über den Sie die Wohnung überprüfen und den Mietvorgang abschließen können:
hxxps://REDACTED/property-aid-63785823-label-gen-832513841233/en/528104900
Lassen Sie es uns wissen, wenn Sie Fragen oder Bedenken haben.
Nachdem Sie den Mietvorgang abgeschlossen haben, senden Sie uns bitte die Bestätigung darüber.
Abbildung 20: Textnachricht an den Empfänger eines Lumma-Partners (Quelle: Recorded Future)
Die Insikt Group entdeckte auch unterstützende Beweise dafür, dass die Tochtergesellschaft ein ähnliches System anwandte: Sie behauptete, weltweit Treuhänder zu haben, schickte den Opfern einen Zahlungslink, um eine Reservierung zu sichern, und versprach, dass die Gelder sicher aufbewahrt und auf "eines [ihres] verfügbaren Bankkontos" überwiesen würden. In diesem Fall war die Insikt Group nicht in der Lage, den tatsächlichen Zahlungslink wiederherzustellen.
Während der Partner möglicherweise seine eigenen Konten auf Plattformen wie WG-Gesucht erstellt hat, gibt es Hinweise darauf, dass er über eine große Anzahl kompromittierter WG-Gesucht-Anmeldeinformationen verfügt. Die Insikt Group geht davon aus, dass zumindest einige dieser Zugangsdaten durch die Lumma-Infektionen der Tochtergesellschaft gestohlen wurden. In diesem Zusammenhang ist es wichtig zu beachten, dass der Verkauf von Protokollen zwar im Allgemeinen lukrativ ist, der Wert bestimmter Anmeldeinformationen, wie z. B. die für Plattformen wie WG-Gesucht, wahrscheinlich eher von ihrer Verwendung in Folgebetrügereien als vom direkten Weiterverkauf herrührt, was erklären könnte, warum einige Käufer nur begrenztes Interesse an ihnen zeigen.
Ausblick
Die einzigartige Untersuchung der Insikt Group über Lumma-Tochtergesellschaften deckte ein großes Infostealing-Ökosystem auf, das durch eine Vielzahl von Tools und Diensten ermöglicht wird, darunter Proxys, VPNs, Anti-Detect-Browser, Exploit-Kits, Verschlüsselungsdienste und Tools zur Malware-Erkennung. Während der Untersuchung identifizierte die Insikt Group bisher nicht gemeldete Tools und zeigte, wie Tochtergesellschaften häufig mehrere Betrügereien parallel durchführen, wie z. B. Mietbetrug, während sie zusätzliche Infostealer wie Vidar, Stealc und Meduza Stealer nutzen, um die Erfolgsquoten zu erhöhen und die Auswirkungen von Erkennungen oder Störungen der Strafverfolgung zu verringern. Mit Blick auf die Zukunft werden die Lumma-Partner ihre Präsenz in Fach- und Nischenforen wahrscheinlich weiter diversifizieren und sich stärker in auf Kryptowährungen ausgerichtete Plattformen und verschlüsselte Messaging-Ökosysteme integrieren, was die Erkennungs- und Störungsbemühungen erschwert.
Während viele Taktiken und Tools bei allen verbundenen Unternehmen standardisiert zu sein scheinen, die wahrscheinlich von gemeinsamen Leitfäden beeinflusst sind, die von den Lumma MaaS-Betreibern bereitgestellt werden, gibt es erhebliche betriebliche Unterschiede. Diese Nuancen sind für Verteidiger von entscheidender Bedeutung, da das Verständnis des individuellen Verhaltens der Partner ein klareres Bild davon bietet, wie bestimmte Bedrohungen innerhalb eines breiteren Ökosystems entstehen und sich entwickeln. Darüber hinaus unterstreichen die Ergebnisse, dass viele Lumma-Partner keine zufälligen Teilnehmer sind, sondern eingebettete Akteure mit tiefen Verbindungen zum cyberkriminellen Untergrund. Die Einführung mehrschichtiger Toolsets und die Diversifizierung über Malware-Familien hinweg deuten sowohl auf Reife als auch auf Anpassungsfähigkeit hin.
Obwohl die jüngsten Strafverfolgungsmaßnahmen die Infrastruktur von Lumma vorübergehend gestört haben, unterstreicht die schnelle Wiederherstellung der Gruppe mit minimalen Änderungen ihre Widerstandsfähigkeit und operative Disziplin. Die längerfristigen Auswirkungen der Strafverfolgungsmaßnahmen auf die einzelnen Tochtergesellschaften hängen von der Fähigkeit von Lumma ab, das Vertrauen wiederherzustellen und sie zu binden, ein Ziel, das durch die schnelle Wiederherstellung der Infrastruktur, proaktive Kommunikation und wahrscheinliche Funktionsverbesserungen verfolgt wird. Im weiteren Sinne unterstreichen die jüngsten Strafverfolgungsoperationen, dass moderne cyberkriminelle Operationen als dezentrale Netzwerke funktionieren, in denen selbst erfolgreiche Störungen in der Regel nur kurzfristige Auswirkungen haben. Eine nachhaltige Eindämmung erfordert anhaltenden Druck der Strafverfolgungsbehörden und gezielte Geheimdienstinformationen, um die sich entwickelnden Taktiken einzelner Tochtergesellschaften zu verfolgen, zusätzlich zu dem Versuch, die Infrastruktur von Lumma zu stören.
Anhang A — Mit dem Ngioweb-Botnet verknüpfte IP-Adressen, die von der Lumma-Tochter blackowl23 verwendet werden
Anhang B — Indikatoren für eine Kompromittierung (IoCs)
Ngioweb IP-Adressen:
38[.]91[.]107[.]2
38[.]91[.]107[.]229
51[.]83[.]116[.]4
66[.]29[.]129[.]52
67[.]213[.]210[.]115
67[.]213[.]212[.]50
162[.]210[.]192[.]136
174[.]138[.]176[.]77
174[.]138[.]176[.]78
195[.]154[.]43[.]189
209[.]159[.]153[.]19
212[.]83[.]137[.]94
212[.]83[.]138[.]186
212[.]83[.]138[.]245
212[.]83[.]143[.]103
212[.]83[.]143[.]118
212[.]83[.]143[.]159
212[.]83[.]143[.]191
Lumma-Probe:
b8e02f2bc0ffb42e8cf28e37a26d8d825f639079bf6d948f8debab6440ee5630
Meduza-Tafel:
hxxp://195[.]133[.]18[.]15/auth/login
Stealc-Platte:
hxxp://94[.]232[.]249[.]208/6A6FE9D70500FE64/main.php