Derrière le rideau : comment fonctionnent les affiliés de Lumma
Executive Summary
Insikt Group fournit une analyse inédite des multiples filiales de Lumma opérant au sein d'un vaste écosystème interconnecté de vol d'informations. L'infostealer Lumma existe depuis 2022 et son écosystème est soutenu par un large éventail d'outils opérationnels, notamment des réseaux proxy, des réseaux privés virtuels (VPN), des navigateurs anti-détection conçus pour la gestion de comptes multiples, des services d'exploitation et de cryptage, et des outils d'évasion de détection conçus pour assurer la furtivité et la continuité de l'activité. L'enquête a révélé l'existence d'outils non documentés auparavant et a démontré que les affiliés de Lumma opèrent souvent plusieurs systèmes simultanément. Par exemple, un affilié a été identifié comme opérant des escroqueries à la location, tandis que d'autres exploitaient simultanément plusieurs plateformes de logiciels malveillants en tant que service (MaaS), dont Vidar, Stealc et Meduza Stealer, probablement pour renforcer l'agilité opérationnelle, améliorer les taux de réussite et atténuer les risques liés à la détection et aux démantèlements par les forces de l'ordre. En outre, plusieurs affiliés de Lumma sont liés à des personnalités distinctes d'acteurs de la menace sur des forums clandestins, ce qui renforce leur intégration profonde dans l'écosystème cybercriminel au sens large.
À court terme, les défenseurs devraient adhérer aux meilleures pratiques de sécurité en surveillant les événements d'exfiltration, en déployant des détections telles que YARA, Sigma et des règles Snort pour découvrir les infections actuelles et historiques, en limitant les téléchargements à partir de sites web et en utilisant éventuellement des listes d'autorisation. Les entreprises doivent former leurs employés à reconnaître les signes de téléchargements illégitimes, les redirections associées à la publicité malveillante et les techniques de plus en plus courantes telles que les attaques ClickFix. En outre, les défenseurs doivent surveiller le dark web et les forums clandestins pour détecter les fuites d'informations d'identification et les logs de logiciels malveillants. À long terme, les défenseurs doivent observer en permanence l'écosystème cybercriminel afin d'anticiper les nouvelles menaces et d'adapter les politiques et les pratiques de sécurité en conséquence.
À l'avenir, Insikt Group prévoit que le MaaS Lumma et son réseau d'affiliés resteront actifs, étant depuis longtemps un chef de file dans l'écosystème cybercriminel en raison de sa sophistication technique, de l'adoption rapide de nouvelles techniques et de sa résilience démontrée, comme en témoigne sa capacité à rétablir l'infrastructure dans les jours qui suivent une opération de démantèlement importante des forces de l'ordre. Bien que l'impact à long terme de ces opérations sur le réseau d'affiliés MaaS de Lumma reste incertain, rien n'indique que les affiliés aient abandonné la plateforme ou que des alternatives viables soient apparues. En fin de compte, Lumma et ses affiliés illustrent la façon dont les opérations cybercriminelles modernes fonctionnent comme des réseaux décentralisés, où même des perturbations efficaces n'entraînent souvent que des revers à court terme. Pour parvenir à une atténuation durable, il faudra exercer une pression constante sur les services répressifs et déployer des efforts ciblés en matière de renseignement afin de surveiller et de contrer l'évolution des tactiques des différentes organisations affiliées.
Key Findings
- Insikt Group a mis au jour des outils utilisés par les affiliés de Lumma qui n'avaient pas été signalés auparavant, notamment un outil de validation des identifiants de courrier électronique piraté circulant sur des forums clandestins et un générateur de pages d'hameçonnage lié à un autre acteur actif sur de nombreux forums.
- Les affiliés de Lumma ont été observés en train de mener plusieurs escroqueries en parallèle, certaines rendues possibles par leur utilisation de Lumma, comme l'utilisation de logs volés pour la fraude à la location. En outre, plusieurs affiliés semblent utiliser simultanément plusieurs infostealers, dont Vidar, Stealc et Meduza Stealer, afin de maximiser les taux de réussite et d'atténuer les perturbations dues à la détection ou à l'action des forces de l'ordre.
- Les affiliés de Lumma s'appuient fortement sur des forums de distribution de cartes clandestins et spécialisés, qui constituent des centres opérationnels essentiels. Ils tirent parti de ces plateformes pour recruter des collaborateurs, obtenir des ressources essentielles telles que des services de cryptage et des services d'amélioration de la confidentialité, et monnayer efficacement les informations d'identification volées, les données financières et les journaux des voleurs d'informations par le biais de marchés noirs intégrés, d'outils de fraude et de réseaux de soutien soutenus par la communauté.
Background
Lumma, parfois appelé LummaC2, était le voleur d'informations le plus répandu en 2024 d'après l'analyse de l'infrastructure malveillante de Recorded Future et, bien qu'il ait fait l'objet de mesures d'application de la loi en mai 2025, il continue de représenter une menace importante, exfiltrant activement les données de particuliers, d'organisations et de gouvernements. Si les voleurs d'informations comme Lumma sont désormais une menace bien connue dans le paysage de la cybersécurité, de nombreuses questions restent en suspens : À quoi ressemble une journée typique pour un affilié d'un voleur d'informations ? Comment opèrent-ils, qui sont-ils, quelles sont leurs autres activités, où sont-ils basés et comment les données volées sont-elles finalement utilisées ?
Au cours des douze derniers mois (du second semestre 2024 au premier semestre 2025), Insikt Group a mené une enquête approfondie sur un vaste réseau de filiales de Lumma opérant dans plusieurs pays. En s'appuyant sur un large éventail de sources de renseignements, y compris deux manuels d'orientation des affiliés (voir figure 1), Recorded Future Malware Intelligence, Recorded Future Identity Intelligence malware logs, et d'autres méthodes d'investigation exclusives, Insikt Group a découvert des informations détaillées et uniques sur les opérations et l'habileté de ces affiliés.
Les résultats sont présentés en deux parties : La première examine les écosystèmes techniques des affiliés, en détaillant leur utilisation de techniques de vol d'informations, d'outils et de services privilégiés et de comportements opérationnels récurrents. La seconde étudie la manière dont les affiliés de Lumma sont intégrés dans l'économie souterraine au sens large. Elle analyse leur participation à des forums sur la cybercriminalité, l'utilisation d'autres familles de logiciels malveillants "infostealer" et leur implication dans d'autres types de fraudes et d'escroqueries en ligne.
Threat Analysis
Infrastructure opérationnelle et savoir-faire
Services d'amélioration de la protection de la vie privée
Services de procuration
Insikt Group a observé que de nombreux affiliés de Lumma utilisaient divers services de procuration, détaillés dans le tableau 1; Pia Proxy était le service le plus fréquemment utilisé. Les proxys peuvent être utilisés à des fins légitimes telles que la protection de la vie privée et la recherche, mais ils sont fréquemment exploités par les cybercriminels pour masquer les identités, éviter la détection et contourner les restrictions. Certains services, comme ASocks et FACELESS, basé sur des logiciels malveillants, ont été ouvertement commercialisés sur des forums de cybercriminalité ; ASocks a été lié à de faux VPN qui transforment les appareils Android en proxy, tandis que FACELESS utilise des logiciels malveillants pour détourner des appareils IoT dans le même but. Insikt Group a évalué les services proxy par type sur la base de plusieurs critères, notamment la promotion de ces services sur les forums cybercriminels.
Tableau 1: Services de procuration utilisés par les filiales de Lumma (sources : Recorded Future)
À noter qu'au début de l'année 2024, Lumma a commencé à collaborer avec l'équipe de GhostSocks, un plugin de proxy résidentiel, permettant aux affiliés de créer des proxys SOCKS5 à partir de bots infectés, comme cela a été annoncé via le canal officiel de Lumma (voir la figure 2)(1, 2). En 2025, Lumma a élargi cette offre, en fournissant aux affiliés un accès par proxy à des machines compromises. Cela a permis aux acteurs de la menace de mener des attaques qui semblaient provenir de l'appareil de la victime, améliorant considérablement leur capacité à contourner les contrôles d'accès tels que les protections basées sur les cookies de Google, un mécanisme que Lumma exploite régulièrement pour rafraîchir les jetons expirés.
Dans au moins un cas, Insikt Group a identifié un affilié de Lumma lié au build ID vcs1q5 - et connu sous le nom de "blackowl23" sur des forums cybercriminels tels que Cracked, Nulled, Sinisterly, Eternia et Cracking au cours des années 2022 et 2023 - utilisant des adresses IP associées au botnet Ngioweb. Ce botnet a déjà été lié au service de proxy cybercriminel NSOCKS, ainsi qu'à d'autres tels que VN5Socks et Shopsocks5. Les adresses IP associées, qui ne font probablement plus partie du réseau de zombies en raison des rapports publics et d'autres mesures d'atténuation, sont énumérées à l'annexe A. De nombreuses adresses IP ont été validées par Insikt Group et ont fait l'objet d'un rapport public.
Services VPN
Selon une étude menée par Insikt Group, tous les affiliés de Lumma analysés utilisaient des services VPN d'une manière ou d'une autre, et beaucoup d'entre eux utilisaient plusieurs fournisseurs. Le tableau 2 présente une sélection des services VPN dont l'utilisation a été observée par ces affiliés.
Tableau 2: Services VPN utilisés par les affiliés de Lumma au cours de l'année écoulée (sources : Recorded Future)
Anti-détection et navigateurs multi-comptes
Les affiliés de Lumma utilisent fréquemment des navigateurs spécialisés dans la protection de la vie privée et la lutte contre la détection (voir le tableau 3) pour échapper à l'identification, contourner les mesures de sécurité et gérer simultanément plusieurs comptes frauduleux. Ces outils permettent aux acteurs de la menace de maintenir la sécurité opérationnelle (OPSEC) en masquant leur véritable identité, leur localisation et leurs empreintes numériques. Parmi les navigateurs les plus utilisés par les affiliés de Lumma figure Dolphin, largement reconnu comme l'un des meilleurs navigateurs anti-détection, conçu explicitement pour gérer plusieurs comptes contrôlés par des acteurs de la menace sans être détecté. Les capacités de Dolphin sont reflétées par Adspower, Hidemyacc et Kameleo, qui facilitent de la même manière les opérations multicomptes, améliorant ainsi l'efficacité opérationnelle et l'anonymat. Octo Browser, un autre outil très utilisé par les cybercriminels, permet de masquer les empreintes digitales, ce qui complique encore les efforts déployés par les forces de l'ordre et les professionnels du site Threat Intelligence pour remonter à la source des activités des menaces.
Le navigateur Brave, bien qu'il ait été conçu principalement pour améliorer la confidentialité des utilisateurs plutôt que pour lutter contre la détection, intéresse les acteurs de la menace en raison de ses solides fonctions intégrées de sécurité et de confidentialité, telles que le blocage agressif des publicités et des traqueurs. Bien qu'elle soit moins explicitement conçue pour la gestion de comptes multiples, son approche axée sur la protection de la vie privée offre une protection de base précieuse aux acteurs de la menace qui cherchent à préserver leur anonymat en ligne.
Tableau 3: Navigateurs anti-détection pour la gestion de comptes multiples utilisés par les affiliés de Lumma (sources : Recorded Future)
Fournisseurs d'hébergement
Alors que Lumma fournit l'infrastructure C2 de base par le biais de son offre MaaS, ses filiales s'appuient sur des fournisseurs d'hébergement distincts visant probablement à soutenir les efforts d'hameçonnage, le déploiement de charges utiles et d'autres activités malveillantes. De nombreux fournisseurs d'hébergement liés aux affiliés de Lumma analysés semblent légitimes, mais certains se distinguent par le fait qu'ils semblent servir directement les cybercriminels et permettre des activités malveillantes, notamment AnonRDP, Bulletproof Hosting et Hostcay, qui ont été utilisés par l'affilié de Lumma lié à l'identifiant de construction re0gvc.
AnonRDP
AnonRDP(anonrdp[.]com) est un fournisseur d'hébergement autoproclamé à l'épreuve des balles, spécialisé dans les services VPS et RDP anonymes, qui met l'accent sur la protection de la vie privée et la résistance au démantèlement (voir la figure 3). Il n'exige aucune vérification d'identité et n'accepte que des paiements en crypto-monnaie, tels que Bitcoin et Monero, traités par le fournisseur de services de paiement NOWPayments et, prétendument, par la bourse de crypto-monnaie ChangeNOW. Sa tolérance à l'égard des activités malveillantes est confirmée par des publicités sur des forums du web profond tels que BreachForums, Hack Forums, Nulled et Patched. Comme l'illustre la figure 3, le site web reconnaît explicitement soutenir des activités telles que l'hébergement, la distribution ou le contrôle de réseaux de zombies, de chevaux de Troie d'accès à distance (RAT), d'hameçonnage, de contenus frauduleux, de pourriels, et bien d'autres encore. Selon des rapports publics, AnonRDP est exploité par Yashvir Keshave, une personne connue pour son implication dans l'écosystème clandestin, notamment dans la création de configurations, d'outils de piratage et d'échanges de comptes numériques.
Suite à l'arrestation de Yuri Meruzhanovich Bozoyan, cofondateur et PDG d'Aeza Group LLC, le 1er avril 2025, Insikt Group a observé qu'AnonRDP avait tenté de débaucher des clients d'Aeza en leur proposant des remises de 50%. L'ampleur du succès du braconnage reste incertaine.
Hébergement à l'épreuve des balles
De même, Bulletproof Hosting(bulletproofhosting[.]org) se présente comme un fournisseur d'hébergement offshore, centré sur la confidentialité, qui offre une infrastructure anonyme et résistante au takedown, accepte les paiements en crypto-monnaies et n'a pas d'exigences en matière d'identification (voir la figure 4). Le site web met en avant des politiques de contenu souples, autorisant explicitement les contenus pour adultes, le piratage, les jeux d'argent et d'autres contenus généralement interdits par les hébergeurs conventionnels. Il prétend se défendre contre les notifications DMCA, les plaintes pour abus et les listes Spamhaus, en utilisant des techniques telles que FastFlux et l'hébergement dans des installations offshore ou renforcées avec une surveillance réglementaire minimale. Avec une assistance 24 heures sur 24 et 7 jours sur 7 gérée par des "experts en cyber-technologie", la plateforme se positionne comme un service résilient destiné aux utilisateurs qui recherchent à la fois l'anonymat et un temps de fonctionnement constant, ce qui est souvent intéressant pour les acteurs de la menace et les opérateurs de contenus controversés.
HostCay
HostCay(hostcay[.]com) est un fournisseur d'hébergement offshore axé sur la confidentialité, fondé en 2023 et exploité par Netacel Inc, une société commerciale internationale (IBC) enregistrée aux Seychelles. HostCay se spécialise dans les services d'hébergement qui donnent la priorité à la liberté d'expression, au soutien des dénonciateurs et à la résistance aux demandes de retrait de contenu (voir figure 5). Elle est connue pour son soutien aux paiements cryptographiques anonymes, l'absence d'exigences en matière d'identité et les fortes protections de la liberté d'expression.
Les affiliés de Lumma ont également été observés en train de tirer parti de nombreux fournisseurs et services d'hébergement légitimes, y compris la plate-forme d'hébergement de fichiers MEGA(mega[.]nz), le service de partage de fichiers et de textes Temp[.]sh (temp[.]sh), et le service d'hébergement d'images ImgBB(imgbb[.]com). Ils ont également utilisé divers services de raccourcissement d'URL tels que shorturl[.]at et free-url-shortener[.]rb[.]gy.
Services d'exploitation et de cryptage
Un service notable soutenant les opérations de Lumma est géré par un acteur connu sous le nom de "@cryptexxx". Plutôt que d'être directement affilié à Lumma, @cryptexxx est l'opérateur d'un service de cryptage et d'exploitation connu sous le nom de Hector (annoncé par le domaine hector[.]su). qui s'adresse notamment aux distributeurs de logiciels malveillants (voir figure 6). Le contenu HTML de hector[.]su comprend des méta-mots clés - tels que crypt, exe, exploits, chrome, bypass, lnk, url, xls, xll, doc, docx, pdf, builder, macro ou popup - indiquant un large éventail d'outils permettant de créer des charges utiles malveillantes dans divers formats de fichiers (des macros Office aux exploits Chrome). Les discussions sur les forums confirment que ce service fournit des droppers totalement indétectables (FUD) et des exploits documentaires pour diffuser des logiciels malveillants. Par exemple, un utilisateur d'un forum de pirates dirige explicitement les autres vers "see URL exploit on hector[.]su" (voir l'exploit URL sur hector[.]su) en tant que ressource pour un exploit FUD rattachable à Gmail. Ces exploits prennent souvent la forme de fichiers Office militarisés, tels que des fichiers d'extension Excel malveillants (.XLL) ou des documents contenant des macros, qui peuvent intégrer la charge utile de Lumma et sont conçus pour échapper aux scanners de courrier électronique et aux protections antivirus.
Des données récentes illustrent la manière dont ces outils sont utilisés dans la pratique. Au milieu de l'année 2025, un vendeur clandestin a fait la publicité d'un programme d'exploitation Office mis à jour qui est "à jour, fonctionne en 2025 et peut être attaché à Gmail, plus le FUD", se vantant explicitement de pouvoir contourner les filtres de Gmail. La même offre met également en évidence un contournement de Windows Defender, avec un rapport d'analyse AV montrant 0/26 détections. Cela signifie qu'un affilié de Lumma peut générer un fichier trojanisé (tel qu'un fichier Excel .xll ou un fichier raccourci/URL malveillant) qui transmet le voleur tout en échappant à l'analyse de la passerelle de messagerie et aux protections antivirus des postes de travail.
En s'appuyant sur le service de cryptage et le concepteur d'exploits de @cryptexxx, l'affilié externalise essentiellement les aspects difficiles de la furtivité et de la diffusion. Il s'agit d'un exemple clair de la nature coopérative des opérations de LummaC2 : le développeur du logiciel malveillant fournit le logiciel malveillant infostealer, l'opérateur du service (@cryptexxx) fournit une boîte à outils d'obfuscation et d'exploitation, et l'affilié utilise ces outils pour distribuer la charge utile aux victimes.
Services et outils liés au courrier électronique
Insikt Group a observé que de nombreux affiliés de Lumma utilisaient une série de services liés au courrier électronique et au spam, y compris un outil de validation des informations d'identification connu sous le nom de "EMAIL SOFTWARE 1.4.0.9 cracked by Maksim" et un outil de création de pages de phishing connu sous le nom de "DONUSSEF", tous deux ayant probablement été déployés dans au moins un cas avéré.
EMAIL SOFTWARE 1.4.0.9 cracké par Maksim
EMAIL SOFTWARE 1.4.0.9 cracked by Maksim est une version crackée d'un outil de vérification d'identité de courrier électronique basé sur Windows .NET (voir Figure 7). Il est conçu pour valider des combinaisons d'e-mails et de mots de passe par rapport à des serveurs de messagerie utilisant des protocoles tels que IMAP et POP3. Les utilisateurs peuvent saisir de grandes listes d'identifiants de courrier électronique (souvent appelées "combo lists") pour vérifier quelles combinaisons sont valables. L'outil permet également aux utilisateurs de rechercher des mots-clés spécifiques dans le contenu des courriels. L'outil est distribué sous la forme d'un fichier .rar protégé par un mot de passe . Les utilisateurs signalent des prix allant jusqu'à 250 dollars sur les marchés clandestins.
L'outil présente une interface utilisateur avec plusieurs options de configuration, notamment un aperçu de l'état des adresses électroniques traitées, un panneau de contrôle pour lancer ou arrêter la validation, et des capacités de gestion de proxy, entre autres fonctionnalités (voir la figure 8).
Figure 8: Interface utilisateur graphique (GUI) de EMAIL SOFTWARE 1.4.0.9 cracké par Maksim
(source : Recorded Future)
Insikt Group estime que l'affilié de Lumma, blackowl23, a utilisé ou continue d'utiliser l'outil pour valider des informations d'identification volées, qui sont ensuite utilisées dans l'escroquerie immobilière décrite dans la section Participation de blackowl23 à une escroquerie immobilière, parmi d'autres escroqueries. Sur la base des configurations identifiées, il est possible que l'affilié ait personnalisé l'outil.
DONUSSEF
Insikt Group a identifié un autre outil, connu sous le nom de "DONUSSEF", qui a fait l'objet d'une démonstration dans une vidéo accessible au public et hébergée sur Google Drive au moment de l'analyse (voir figure 9). Utilisé par blackowl23, l'outil est conçu pour générer des pages d'hameçonnage via la ligne de commande à l'aide de AI. Il invite l'utilisateur à saisir des URL, une ligne d'objet et une brève description du contenu de l'hameçonnage envisagé, puis produit un fichier HTML en sortie.
La gamme complète des pages d'hameçonnage que l'outil peut générer n'est pas claire, car Insikt Group n'a pas été en mesure de le tester de manière indépendante. Dans la démo, il a été montré qu'il ne créait que des pages d'hameçonnage PayPal (voir figure 10). En raison de l'indisponibilité des pages HTML, Insikt Group n'a pas été en mesure d'évaluer leur efficacité ou de déterminer si elles sont apparues dans des campagnes connues.
Grâce à une enquête plus approfondie, Insikt Group a identifié une chaîne YouTube vraisemblablement associée au créateur présumé de DONUSSEF. L'acteur a utilisé la chaîne pour faire la démonstration d'au moins deux outils supplémentaires : l'un commercialisé comme un expéditeur de courrier électronique avec un taux de livraison de 100% dans la boîte de réception, et l'autre pour le spamming par SMS( appelé "ULTRA-checker.py" dans la vidéo). Les deux vidéos ont été téléchargées le 18 décembre 2022 à partir d'un appareil configuré en français. Dans l'une des vidéos de démonstration, l'acteur a utilisé et accédé à deux comptes de courrier électronique, ussefescobar@seznam[.]cz et ussefakkar@outlook[.]com, dont on pense qu'ils sont liés à l'acteur.
L'outil ULTRA-checker.py inclut des références à deux canaux Telegram : @donussef et @rdpvendor. Au moins un de ces comptes semble être actif dans des communautés Telegram associées à des outils liés au spam (voir figure 11). Insikt Group n'a trouvé aucun lien supplémentaire entre le créateur présumé de DONUSSEF et blackowl23.
Autres services d'envoi d'e-mails et de génération de leads
Insikt Group a identifié plusieurs autres services liés au courrier électronique, souvent légitimes, utilisés par des sociétés affiliées à Lumma à des fins multiples, notamment Joz Data(jozdata[.]com), Mailchimp(mailchimp[.]com), Spamir(spamir[.]fr), et Mandrill(mandrillapp[.]com), entre autres. Joz Data fournit des listes d'adresses électroniques validées et segmentées pour le marketing et la génération de leads. Mailchimp est une plateforme légitime pour concevoir et gérer des campagnes d'e-mailing. Spamir propose des outils pour l'envoi de courriels et de SMS en masse, souvent liés à des activités de spam ou de phishing, bien qu'il soit présenté comme une boîte à outils de test. Mandrill, un module complémentaire payant de Mailchimp, est une API d'e-mail transactionnel utilisée pour envoyer des messages individuels déclenchés par des événements, tels que des réinitialisations de mot de passe et des confirmations de commande, via SMTP ou API.
AVCheck et ses alternatives
Comme de nombreux acteurs de la menace qui déploient des logiciels malveillants ou des infrastructures connexes, les affiliés de Lumma recherchent activement des outils pour tester la détection au-delà des environnements sandbox standard. Au cours des douze derniers mois, Insikt Group a observé que de nombreux affiliés utilisaient au moins deux de ces services : AVCheck(avcheck[.]net), qui a été saisie par les forces de l'ordre en mai 2025 ; et, plus récemment, KleenScan(kleenscan[.]com). Il y avait également des signes qu'au moins un affilié utilisait avscan[.]net, bien que sa présence et sa nature n'aient pu être confirmées au moment de l'analyse, car le domaine semblait être mis en vente.
KleenScan est un service alternatif d'analyse des logiciels malveillants fréquemment utilisé et commercialisé par les cybercriminels pour tester les fichiers malveillants, les URL et les domaines par rapport à plusieurs moteurs antivirus (voir figure 12). Il propose une interface utilisateur, une API, un client en ligne de commande et même un robot Telegram (@kleenscanofficialbot) pour les téléchargements et les analyses en temps réel ou en cours d'exécution, tout en promettant explicitement une politique "No Distribution" afin que les échantillons soumis ne soient pas partagés avec les vendeurs d'antivirus. Bien que Insikt Group ait observé des affiliés de Lumma utilisant KleenScan avant la saisie d'AVCheck en mai 2025, les rapports publics indiquent que les cybercriminels se sont de plus en plus tournés vers des plateformes comme KleenScan comme alternative suite à la saisie. Notamment, KleenScan annonce hector[.]su (voir figure 12), un courtier en exploitation décrit plus en détail dans la section Services d'exploitation et de cryptage.
Services de téléphonie et de SMS
Les affiliés de Lumma abusent fortement des services de téléphonie virtuelle et de SMS (voir tableau 4) tels que OnlineSim, SMS-Activate et Zadarma. Ces plateformes fournissent des numéros de téléphone jetables pour la vérification par SMS ou vocale, que les acteurs de la menace utilisent pour contourner la sécurité basée sur l'OTP et créer de faux comptes sans utiliser d'identifiants personnels. Les affiliés de Lumma peuvent recevoir automatiquement des codes 2FA ou des codes PIN d'activation sur des numéros virtuels, ce qui leur permet d'enregistrer des sites de distribution de logiciels malveillants, des lecteurs en nuage ou des comptes de messagerie sans exposer leurs lignes téléphoniques réelles. Cette dissimulation de l'identité est cruciale dans l'écosystème Lumma, car elle contrecarre les efforts d'attribution et de démantèlement en donnant l'impression que la propriété de l'infrastructure est éphémère.
En pratique, l'utilisation de ces services pour le contournement des OTP et la création de faux comptes permet aux équipes de Lumma d'élargir leur surface d'attaque. Les numéros de SMS jetables permettent aux pirates de contourner l'authentification à deux facteurs par SMS en redirigeant les codes de passe à usage unique vers des boîtes de réception contrôlées par les pirates. Cela signifie que même si un compte volé est protégé par SMS 2FA, les affiliés de Lumma peuvent essayer de réacheminer l'OTP vers un numéro virtuel qu'ils contrôlent, annulant ainsi la protection. Des services comme Zadarma (un fournisseur de VoIP) permettent en outre aux criminels de recevoir des appels ou des textes sur des lignes virtuelles, ou même d'effectuer des appels vocaux usurpés dans le cadre de bots d'interception d'OTP et de schémas de vishing. Dans le cadre du programme d'affiliation de Lumma, les guides et les discussions de la communauté encouragent l'utilisation de ces outils pour la sécurité opérationnelle, depuis l'enregistrement de comptes de messagerie et de Telegram jetables jusqu'à la mise en place de C2 panels ou de comptes de paiement frauduleux.
Tableau 4: Services téléphoniques et SMS utilisés par les affiliés de Lumma (sources : Recorded Future)
Messaging Platforms
Les affiliés de Lumma intègrent de nombreux outils de messagerie sécurisée et de partage d'informations dans leurs flux de travail quotidiens afin de renforcer la sécurité opérationnelle, de préserver l'anonymat et de minimiser les empreintes numériques. Les affiliés utilisent généralement uTox, un client de messagerie peer-to-peer décentralisé qui utilise le cryptage de bout en bout via le protocole Tox. Cet outil facilite les communications persistantes et sécurisées, en prenant en charge les messages textuels, vocaux et vidéo. Il est souvent associé à des proxys Tor pour dissimuler les identités des affiliés et éviter les dépendances à des serveurs centraux.
Les affiliés mobiles de l'écosystème Lumma préfèrent les applications Android sécurisées basées sur XMPP, telles que Xabber et c0nnect[.]pro. Les deux applications offrent des communications cryptées grâce au cryptage de l'enregistrement, à la gestion de plusieurs comptes et à la compatibilité avec des serveurs XMPP privés et contrôlés, ce qui les rend idéales pour une coordination discrète lors de vos déplacements. Les affiliés configurent souvent ces applications pour qu'elles fonctionnent en tandem avec les proxys Tor, ce qui permet de brouiller davantage les métadonnées et de réduire l'exposition numérique.
Pour les scénarios nécessitant la transmission d'informations éphémères et sensibles, telles que des informations d'identification, des mots de passe ou des instructions, les affiliés de Lumma font souvent appel à Privnote, un service en ligne qui génère des notes cryptées qui s'autodétruisent après avoir été lues une seule fois. Cette capacité réduit considérablement l'empreinte médico-légale potentielle de l'affilié en ne laissant aucun enregistrement persistant et permet des échanges sécurisés et rapides de détails opérationnels.
Collectivement, ces outils forment une architecture de communication en couches employée par les affiliés de Lumma, équilibrant efficacement les communications persistantes, la flexibilité mobile et les échanges éphémères sécurisés afin de minimiser les risques et d'améliorer la furtivité.
Optimisation des médias sociaux
Dans au moins un cas, Insikt Group a observé un affilié de Lumma utilisant le service Bosslike(bosslike[.]ru), qui prétend offrir des boosts gratuits et rapides pour les likes sur des plateformes telles qu'Instagram, VK et TikTok (voir Figure 13), probablement pour soutenir des activités liées à l'escroquerie.
L'intégration des affiliés dans l'écosystème cybercriminel
Participation au forum
L'écosystème d'affiliation de Lumma se nourrit de forums souterrains qui agissent comme des centres de collaboration, de ressources et de marchés. Les forums de cybercriminalité en langue russe tels que XSS et Exploit servent de rampe de lancement pour le MaaS de Lumma, et c'est là que le voleur a été initialement annoncé et approuvé par la communauté. Ces forums attirent des acteurs de la menace techniquement compétents et donnent de la crédibilité aux nouvelles offres de logiciels malveillants grâce à des systèmes de réputation et à la surveillance des modérateurs. Les affiliés les fréquentent non seulement pour obtenir des constructions Lumma, mais aussi pour s'engager dans des services de dépôt fiduciaire et d'arbitrage de confiance, garantissant des transactions plus sûres lors de l'achat d'outils ou du règlement de litiges avec des partenaires. La confiance établie sur des forums comme Exploit et XSS offre aux affiliés un environnement fiable où ils peuvent faire des affaires, de la location de serveurs à la résolution de conflits, sous la surveillance de modérateurs expérimentés.
Parallèlement, des communautés de cybercriminels de masse telles que LolzTeam(zelenka[.]guru) sont devenus un haut lieu de recrutement et de formation des fantassins des opérations de Lumma. Ces forums plus accessibles hébergent des sections dédiées aux "trafiquants", des acteurs de la menace spécialisés dans la diffusion de logiciels malveillants de type "infostealer", et sont activement utilisés pour constituer des équipes d'affiliés et former les nouveaux venus. Sur LolzTeam, par exemple, des criminels chevronnés font la promotion de programmes d'affiliation de voleurs d'informations qui fournissent aux novices tout ce dont ils ont besoin pour commencer à distribuer des logiciels malveillants. Dans un cas, une équipe sur LolzTeam a offert des constructions Lumma cryptées gratuites et même un soutien SEO aux nouvelles recrues, en prenant un pourcentage des bénéfices provenant des crypto-monnaies volées. Cette faible barrière à l'entrée, combinée aux tutoriels affichés sur les forums concernant les techniques de fraude et la sécurité opérationnelle, transforme les plateformes comme LolzTeam en un réservoir de main-d'œuvre pour la distribution d'informations volées. L'examen des forums par la communauté, y compris les règles interdisant de cibler certaines régions et les commentaires du public sur les programmes, aide les affiliés à apprendre des tactiques efficaces et "acceptables". Les méthodes de fraude courantes sont fréquemment discutées et popularisées sur ces forums, ce qui permet aux affiliés de Lumma de connaître les astuces de monétisation et les stratégies de manipulation des victimes.
Plus important encore, ces forums clandestins fournissent des places de marché et des services prêts à l'emploi que les affiliés de Lumma exploitent pour monétiser les données volées et optimiser leurs campagnes. Les logs des voleurs d'informations sont très demandés, et les forums relient les affiliés à des marchés animés où ces données sont achetées et vendues. Marché russe(rm1[.]to), par exemple, est une boutique automatisée accessible via les cercles des forums qui a été décrite comme "l'Amazon des informations d'identification volées" en raison de son inventaire massif et de sa facilité d'achat en un seul clic. À la fin de l'année 2024, Lumma était devenue la principale source d'informations d'identification sur Russian Market, représentant environ 92% des enregistrements volés, ce qui montre à quel point les affiliés de Lumma se débarrassent de leur butin sur ces plates-formes pour en tirer profit. D'autres sites comme la place de marché de LolzTeam et xleet[.]pw De même, il comprend des sections pour les journaux d'informations, les comptes compromis et les biens numériques, ce qui permet aux affiliés de vendre rapidement des données provenant d'infections par Lumma au plus offrant. Au-delà de la vente de données, les places de marché des forums mettent en relation les affiliés de Lumma avec des courtiers d'accès initiaux et des services de fraude financière qui aident à convertir les informations volées en argent liquide. Les affiliés peuvent trouver des acheteurs pour les identifiants de connexion des entreprises ou s'engager dans des services de blanchiment d'argent et d'encaissement annoncés sur ces forums.
Les forums souterrains servent également de guichets uniques pour l'assistance technique et opérationnelle dont les affiliés de Lumma ont besoin. Des fils de discussion dédiés, gérés par les développeurs de Lumma ou des membres de la communauté, offrent une assistance technique, des annonces de mises à jour et des conseils de dépannage en temps réel. Cela signifie qu'un affilié peut se tourner vers les communautés de forums pour obtenir de l'aide sur la configuration des constructeurs, des conseils pour contourner les antivirus ou pour partager des informations sur les fermetures de sites par les forces de l'ordre. Les forums hébergent également toute une série de services liés aux logiciels malveillants, essentiels à la mise en œuvre de campagnes furtives. Les fournisseurs d'hébergement, de VPN et de distribution de trafic à toute épreuve se rassemblent sur tous les grands forums. Les mêmes fournisseurs de services font souvent de la publicité sur plusieurs sites, ce qui permet aux affiliés d'obtenir facilement des serveurs résilients et des domaines web pour héberger les logiciels malveillants Lumma. Les services de cryptage sont également accessibles ; par exemple, le populaire crypteur Cassandra et d'autres sont promus sur les places de marché des forums, ce qui permet aux affiliés de crypter et de reconditionner en permanence les charges utiles de Lumma afin d'échapper à la détection antivirus.
Il existe un riche écosystème d'offres, telles que des kits d'exploitation, des modèles de faux documents, des locations de spambots et des vérificateurs d'identité, que les affiliés peuvent se procurer auprès de ces communautés pour améliorer leurs opérations. Ensemble, ces forums fournissent aux affiliés de Lumma une suite complète d'outils qui ont été approuvés par la communauté. Cette valeur pratique et opérationnelle explique pourquoi le réseau d'affiliés de Lumma reste profondément ancré dans les forums clandestins : ils fournissent non seulement les moyens de déployer et de dissimuler les logiciels malveillants, mais aussi les mécanismes permettant de tirer profit de leurs résultats, le tout au sein d'une communauté semi-structurée qui renforce la confiance entre les voleurs.
Ateliers de cardage
Les affiliés de Lumma Stealer se tournent vers des boutiques de cardage spécialisées comme b1ackstash[.]cc, stashpatrick[.]io, BriansClub (voir figure 15)(bclub[.]cm et briansclub[.]cm), et binsoficial666[.]activo[.]mx de monétiser efficacement les données financières qu'ils ont volées. Insikt Group note que la crédibilité de ces sources est très variable ; des boutiques comme BriansClub sont considérées comme faisant autorité dans l'écosystème de la fraude aux paiements, tandis que binsoficial666[.]activo[.]mx a une très mauvaise réputation. Contrairement aux sites de cybercriminalité générale, les sites de carding sont dédiés à l'échange de données de paiement et attirent une clientèle intégrée de fraudeurs à la recherche de numéros de cartes de crédit, d'identifiants bancaires et d'informations personnelles. Les affiliés de Lumma tirent parti de cette demande en vendant en gros des enregistrements de cartes fraîchement obtenus et des "fullz", gagnant souvent un pourcentage pour chaque vente par le biais du système de dépôt fiduciaire ou de boutique du forum. Par essence, les plateformes de paiement par carte permettent aux affiliés de Lumma de transformer rapidement les données de cartes volées en profit, avec des points de vente à fort volume comme BriansClub qui trafiquent historiquement des millions de cartes compromises fournies par des affiliés de logiciels malveillants.
Beyond sales, carding forums offer operational support for fraud that broader hacking forums do not. Lumma affiliates frequent these communities to learn and collaborate on card-not-present (CNP) fraud using stolen card credentials to buy goods or launder money online. The forums host vetted tutorials for abusing e-commerce sites and payment processors, helping thieves bypass anti-fraud measures. Members also advertise criminal services such as providing “drop” addresses (safe delivery points for goods bought with stolen cards) or converting illicit purchases into cash. Additionally, these forums supply validation tools and services critical to fraud operations. Lumma affiliates can purchase or access credit card checkers that automatically test which cards from their stealer logs remain valid and have credit available, ensuring they only spend time on live cards. They might also acquire Bank Identification Number (BIN) lists and other utilities, using the community’s pooled resources to maximize successful transactions. Carding sites enable Lumma affiliates to offload infostealer loot in bulk, complementing sales on broader crime forums. A single Lumma infection yields an expansive log of credentials, cookies, system data, and often multiple financial accounts; parsing and individually selling each asset can be labor-intensive. Carding marketplaces or associated breach data shops let affiliates resell entire stealer logs or specific datasets to other criminals who specialize in exploiting them. For example, high-value logs from Lumma, containing not just cards but bank account passwords or cryptocurrency wallet keys, are often posted on underground markets or offered via automated bot vendors shortly after exfiltration. This practice allows Lumma affiliates to monetize stolen information at scale: they can quickly sell bundles of fresh logs to brokers or fraud rings while focusing their own efforts on new infections. In tandem with general hacking forums, these carding forums provide the ecosystem for cashing out Lumma’s results. They offer a one-stop underground economy where affiliates convert stolen data into money through direct sales of CVVs and “fullz,” the provision of guidance and tools for fraudulent transactions, and the bulk resale of stolen logs. This significantly enhances both the profitability and practicality of Lumma operations.
Utilisation d'Infostealers supplémentaires
Insikt Group a observé que plusieurs affiliés de Lumma utilisaient d'autres voleurs d'informations aux côtés de Lumma.
Meduza Stealer, Vidar et CraxsRAT utilisés par un affilié de Lumma probablement basé au Mexique
L'affilié lié à Lumma build ID re0gvc, un acteur de la menace probablement basé au Mexique et opérant sous de multiples pseudonymes sur divers forums, a été observé en train d'utiliser l'infrastructure Meduza Stealer liée à l'adresse IP 195[.]133[.]18[.]15. Comme Lumma, Meduza Stealer est un voleur d'informations MaaS basé sur Windows, conçu pour extraire des informations d'identification, des données de navigation et des portefeuilles de crypto-monnaie tout en échappant à la détection grâce à des techniques d'anti-analyse et de géofiltrage.
L'Insikt Group a également identifié des indicateurs de confiance élevée indiquant que le même acteur de la menace a utilisé Vidar, un voleur d'informations basé sur Windows, ainsi que des preuves de confiance moyenne suggérant l'utilisation de CraxsRAT, un RAT basé sur Android, sur la base d'images de profil Telegram vraisemblablement liées à l'affilié (voir Figure 17). Bien que cela indique que cet affilié ait pu également cibler les appareils mobiles, Insikt Group n'a pas trouvé d'échantillons, d'infrastructures ou de campagnes associés pour confirmer cette activité.
Stealc utilisé par l'affilié Lumma suffergrime
Un autre affilié lié aux build IDs test222 et eLMNFu de Lumma, connu sous le nom de "suffergrime" sur divers forums et opérant sous de nombreux autres pseudonymes, dont duckfuck, cryptplease, ultracool2201, borodach et dedo4ek, semble avoir utilisé StealC en même temps que Lumma. Stealc est un voleur d'informations modulaire et évasif écrit en C et distribué en tant que MaaS. Plus précisément, suffergrime a été observé en train d'interagir avec le panneau de gestion Stealc sur l'URL hxxp://94[.]232[.]249[.]208/6a6fe9d70500fe64/main.php. Insikt Group estime que l'affilié est probablement un hispanophone, avec des indications suggérant une origine possible en Amérique du Sud.
Intérêt de worldmix10k pour Wallet and Vilsa Stealer
En plus des cas ci-dessus, Insikt Group a observé qu'un affilié de Lumma associé au build ID 1dacrp et probablement connu sous le nom de "worldmix10k" exprimait son intérêt pour deux autres voleurs : un "Wallet Stealer" précédemment hébergé sur un dépôt GitHub nommé "poopybuthoop", et Vilsa Stealer, un voleur d'informations qui avait déjà fait l'objet d'un rapport public auparavant. Bien que le dépôt GitHub ne soit plus accessible au moment de l'analyse, un instantané historique a été conservé par Ecosyste.
Notamment, une recherche de la chaîne "worldmix10k" a conduit Insikt Group à un échantillon Lumma avec l'ID de construction "1dacRP--worldmix10k", lié au même affilié. Cet échantillon a utilisé techmindzs[.]live et earthsymphzony[.]today comme domaines C2, ainsi qu'une URL SteamCommunity, hxxps://steamcommunity[.]com/profiles/76561199822375128, pour la résolution des points morts. Insikt Group n'a pas pu identifier les chaînes d'infection exactes liées à l'échantillon.
Participation à d'autres escroqueries
L'analyse de plusieurs affiliés de Lumma au cours des douze derniers mois a révélé que nombre d'entre eux n'utilisent pas seulement plusieurs infostealers en même temps, comme indiqué dans la section Utilisation d'infostealers supplémentaires, mais qu'ils sont aussi probablement impliqués dans une variété d'opérations d'escroquerie distinctes. L'une de ces escroqueries, liée à la filiale de Lumma connue sous le nom de blackowl23, a particulièrement attiré l'attention de Insikt Group et est examinée plus en détail ci-dessous.
Participation de blackowl23 à une escroquerie immobilière
Insikt Group a découvert des preuves indiquant que blackowl23 a été impliqué dans une escroquerie immobilière dans laquelle des annonces de location, probablement créées par des acteurs et compromises, sur des plateformes telles que le site web allemand WG-Gesucht, ont été utilisées pour tromper les victimes et les amener à effectuer des paiements avant de visiter un appartement. Dans le cadre de ce stratagème, blackowl23 a utilisé les adresses électroniques immo-total[@]outlook[.]com et mwimport[@]outlook[.]de (voir figure 19).
Plus précisément, l'affilié affirme avoir eu "de mauvaises expériences dans le passé avec des personnes qui voulaient louer la propriété", déclarant que lorsqu'ils "arrivaient à la propriété, il n'y avait personne", ce qui a entraîné "l'annulation de rendez-vous d'affaires, ce qui a fait perdre du temps et de l'argent". Sous prétexte de cela, ils ont demandé aux victimes d'effectuer des paiements par l'intermédiaire de Booking.com, affirmant que le processus était sûr et que les victimes seraient remboursées si elles n'étaient pas satisfaites de l'appartement (voir figure 20). Notamment, le même chemin d'URL(property-aid-63785823-label-gen-832513841233) observé dans cette activité a également été vu dans l'URL de la phase finale d'une campagne d'escroquerie à la location signalée par Fortian en 2024. Dans ce cas, les victimes ont été trompées en réservant des logements, et le domaine utilisé semble être une variante de typosquattage, booking[.]eu-apt-booking[.]homes, hébergé via Cloudflare.
Bonjour,
Malheureusement, non, mais vous trouverez en pièce jointe de cet e-mail le lien booking.com à partir duquel vous pouvez louer et vérifier l'appartement.
Après avoir reçu la confirmation de booking.com que la procédure de location et le paiement ont été effectués sur la plateforme, nous pouvons organiser la visite ou l'emménagement directement dans l'appartement.
Nous tenons à vous informer que la procédure de location est sécurisée par booking.com et que si vous n'aimez pas l'appartement, vous recevrez l'argent sans aucun problème directement sur votre compte bancaire le jour même.
Voici le lien booking.com où vous pouvez vérifier l'appartement et compléter la procédure de location :
hxxps://REDACTED/property-aid-63785823-label-gen-832513841233/en/528104900
N'hésitez pas à nous contacter si vous avez des questions ou des inquiétudes.
Une fois la procédure de location terminée, veuillez nous envoyer la confirmation de celle-ci.
Figure 20: Texte envoyé à la cible d'un affilié de Lumma (sources : Recorded Future)
Insikt Group a également découvert des preuves à l'appui du fait que l'affilié utilisait un système similaire : il prétendait avoir des agents de dépôt fiduciaire dans le monde entier, envoyait aux victimes un lien de paiement pour garantir une réservation et promettait que les fonds seraient conservés en toute sécurité et transférés sur "l'un de [leurs] comptes bancaires disponibles". Dans ce cas, Insikt Group n'a pas été en mesure de récupérer le lien de paiement réel.
Bien que l'affilié ait pu créer ses propres comptes sur des plateformes telles que WG-Gesucht, les preuves montrent qu'il possède un grand nombre d'informations d'identification compromises de WG-Gesucht. Insikt Group suppose qu'au moins une partie de ces informations d'identification ont été volées par le biais des infections Lumma de l'affilié. Dans ce contexte, il est important de noter que si la vente de logs est généralement lucrative, la valeur de certaines références, telles que celles de plateformes comme WG-Gesucht, provient probablement de leur utilisation dans des escroqueries de suivi plutôt que de leur revente directe, ce qui peut expliquer pourquoi certains acheteurs peuvent montrer un intérêt limité pour ces références.
Outlook
Insikt GroupL'enquête unique menée par la Commission européenne sur les affiliés de Lumma a mis au jour un vaste écosystème de vol d'informations reposant sur un ensemble varié d'outils et de services, notamment des proxys, des VPN, des navigateurs anti-détection, des kits d'exploitation, des services de cryptage et des outils de détection de logiciels malveillants. Au cours de l'enquête, Insikt Group a identifié des outils qui n'avaient pas été signalés auparavant et a démontré comment les affiliés organisent fréquemment plusieurs escroqueries en parallèle, comme la fraude à la location, tout en exploitant des infostealers supplémentaires comme Vidar, Stealc et Meduza Stealer, susceptibles d'améliorer les taux de réussite et de réduire l'impact de la détection ou des perturbations causées par les forces de l'ordre. À l'avenir, les affiliés de Lumma diversifieront probablement leur présence sur des forums spécialisés et de niche, en s'intégrant plus profondément aux plateformes axées sur les crypto-monnaies et aux écosystèmes de messagerie cryptée, ce qui compliquera les efforts de détection et d'interruption.
Bien que de nombreux outils et tactiques semblent standardisés entre les affiliés, qui sont probablement influencés par les guides communs fournis par les opérateurs Lumma MaaS, il existe des différences opérationnelles significatives. Ces nuances sont cruciales pour les défenseurs, car la compréhension des comportements individuels des affiliés offre une image plus claire de la façon dont les menaces spécifiques émergent et évoluent dans un écosystème plus large. En outre, les résultats soulignent que de nombreux affiliés de Lumma ne sont pas des participants occasionnels, mais des acteurs intégrés ayant des liens étroits avec le milieu de la cybercriminalité. L'adoption d'outils à plusieurs niveaux et la diversification des familles de logiciels malveillants témoignent de leur maturité et de leur capacité d'adaptation.
En ce qui concerne l'avenir, bien que les récentes mesures de répression aient temporairement perturbé l'infrastructure de Lumma, le rétablissement rapide du groupe avec des changements minimes souligne sa résilience et sa discipline opérationnelle. L'impact à long terme des efforts de répression sur les affiliés individuels dépend de la capacité de Lumma à rétablir la confiance et à les retenir, un objectif qu'elle poursuit en rétablissant rapidement son infrastructure, en communiquant de manière proactive et en améliorant probablement ses fonctionnalités. D'une manière plus générale, les récentes opérations de répression soulignent que les opérations cybercriminelles modernes fonctionnent comme des réseaux décentralisés, où même les perturbations réussies ont tendance à n'avoir que des effets à court terme. Pour atténuer durablement les effets de la crise, il faudra exercer une pression constante sur les services répressifs et disposer de renseignements ciblés afin de suivre l'évolution des tactiques des affiliés individuels, tout en cherchant à perturber l'infrastructure de Lumma.
Annexe A - Adresses IP liées au botnet Ngioweb et utilisées par l'affilié de Lumma, Blackowl23
Annexe B - Indicateurs de compromis (IoC)
Adresses IP de Ngioweb :
38[.]91[.]107[.]2
38[.]91[.]107[.]229
51[.]83[.]116[.]4
66[.]29[.]129[.]52
67[.]213[.]210[.]115
67[.]213[.]212[.]50
162[.]210[.]192[.]136
174[.]138[.]176[.]77
174[.]138[.]176[.]78
195[.]154[.]43[.]189
209[.]159[.]153[.]19
212[.]83[.]137[.]94
212[.]83[.]138[.]186
212[.]83[.]138[.]245
212[.]83[.]143[.]103
212[.]83[.]143[.]118
212[.]83[.]143[.]159
212[.]83[.]143[.]191
Échantillon Lumma :
b8e02f2bc0ffb42e8cf28e37a26d8d825f639079bf6d948f8debab6440ee5630
Panneau Meduza :
hxxp://195[.]133[.]18[.]15/auth/login
Stealc Panel:
hxxp://94[.]232[.]249[.]208/6a6fe9d70500fe64/main.php