REMUS 인포스틸러 내부: 세션 탈취·MaaS·급속 진화
Source: Bleeping Computer
최근 몇 달 동안, REMUS라는 새로운 인포스틸러 악성코드가 사이버 범죄 현장에서 등장해 보안 연구원과 악성코드 분석가들의 주목을 받고 있습니다. 최근 발표된 여러 기술 분석은 이 악성코드의 기능, 인프라, Lumma Stealer와의 유사점(브라우저 타깃팅 메커니즘, 자격 증명 탈취 기능 등)에 초점을 맞추었습니다.
하지만 악성코드 자체 뒤에 있는 언더그라운드 운영에 대해서는 거의 조명되지 않았습니다.
Flare 연구원들이 2026년 2월 12일부터 5월 8일까지 REMUS 언더그라운드 운영과 연결된 128개의 게시물을 분석한 결과, 이 그룹이 어떻게 악성코드를 소개하고, 개발하며, 언더그라운드 커뮤니티 내에서 운영하는지에 대한 드문 통찰을 제공했습니다. 행위자의 광고, 업데이트 로그, 기능 발표, 운영 논의, 고객 대상 커뮤니케이션을 분석함으로써, 연구는 운영이 시간에 따라 어떻게 진화했는지와 어떤 우선순위가 개발을 이끌었는지를 파악하는 데 도움을 줍니다.
그 결과는 스틸러 기능의 급속한 진화뿐 아니라 상업화, 운영 확장성, 세션 탈취, 비밀번호 관리자 타깃팅에 대한 집중도가 높아지고 있음을 보여줍니다. 더 넓게는, 현대의 malware‑as‑a‑service (MaaS) 운영이 지속적인 개발 주기, 운영 개선, 사용성·지속성·장기 수익화를 위한 기능을 갖춘 구조화된 소프트웨어 비즈니스와 점점 닮아가고 있음을 시사합니다.
언더그라운드 활동은 매우 압축적이면서도 공격적인 개발 주기를 보여줍니다. 운영자는 몇 달에 걸쳐 기능 업데이트, 운영 개선, 새로운 수집 능력을 반복적으로 공개했습니다.
정적인 악성코드 빌드를 광고하는 것이 아니라, 게시물들은 실시간에 가깝게 진화하는 MaaS 플랫폼을 적극적으로 유지·보수하고 있음을 보여줍니다.
2026년 2월은 최초의 상업적 추진이 이루어진 시점이었습니다. 초기 게시물들은 REMUS를 신뢰할 수 있고 사용하기 쉬운 스틸러로 자리매김하려 했으며, 브라우저 자격 증명 탈취, 쿠키 수집, Discord 토큰 탈취, Telegram 전달, 기본 로그 관리 등을 홍보했습니다. 어조는 매우 홍보적이며 고객 지향적이었습니다. 가장 초기 게시물 중 하나에서 운영자는 다음과 같이 주장했습니다: “좋은 암호화와 전용 중계 서버를 사용하면 콜백 비율이 약 90%에 달합니다.”
또 다른 게시물은 악성코드를 “24/7 지원”과 “아무리 어린 아이라도 사용할 수 있을 정도로 간단함”을 특징으로 내세우며, 초기부터 사용성 및 상업화에 강한 중점을 두고 있음을 강조했습니다.
2026년 3월은 캠페인에서 가장 활발한 개발 기간이었습니다. 이 시기에 운영자는 복구 토큰 기능, 로그 처리 확대, 워커 추적, 통계 페이지, 중복 로그 필터링, Telegram 전달 워크플로우 개선 등을 도입했습니다. 여러 게시물은 탈취 자체보다는 운영 가시성 및 캠페인 관리에 초점을 맞췄습니다. 한 업데이트는 로그 테이블과 통계 뷰에 워커 닉네임을 추가했으며, 또 다른 업데이트는 로더 실행 가시성을 개선해 운영자가 실패한 감염을 더 잘 이해할 수 있게 했습니다. 이러한 변화는 REMUS가 단순한 악성코드 실행 파일을 넘어 보다 포괄적인 운영 플랫폼으로 진화하고 있음을 시사합니다.
2026년 4월은 세션 연속성 및 브라우저 측 인증 아티팩트에 대한 명확한 전환을 보여줍니다. 운영자는 SOCKS5 프록시 지원, 토큰 복구 개선, 안티‑VM 토글, 게임 플랫폼 타깃팅, 비밀번호 관리자 관련 수집 등을 추가했습니다. 한 업데이트는 명시적으로 “1Password와 LastPass 확장 프로그램을 위한 IndexedDB 수집을 추가했습니다.”라고 적었습니다.
또 다른 게시물은 Bitwarden 관련 검색을 언급했습니다. 게시물들은 점점 더 인증된 세션, 복구 워크플로우, 브라우저 측 저장소에 중점을 두고 있으며, 단순히 독립적인 자격 증명만을 목표로 하지 않았습니다.
2026년 5월 초까지 운영은 정제 및 운영 안정성에 초점을 맞춘 것으로 보입니다. 데이터셋에 남아 있는 게시물들은 복구 개선, 버그 수정, 수집 최적화, 전달 및 관리 기능에 대한 지속적인 조정을 언급하며, 운영자가 급속한 기능 확장에서 플랫폼 안정화로 방향을 전환하고 있음을 시사합니다.
REMUS와 Lumma와의 연관성
Flare 플랫폼에서 확인된 REMUS 초기 게시물 중 하나의 스크린샷.
고객이 아니라면 무료 체험으로 접근해 보세요.
공개 보고서는 주로 REMUS를 Lumma Stealer의 기술적으로 중요한 후속 또는 변형으로 다루었습니다. 연구자들은 이 악성코드가 64비트 인포스틸러이며, Lumma와 다수의 유사점을 공유한다고 설명했는데, 여기에는 안티‑VM 검사, 브라우저 중심 자격 증명 탈취, 브라우저 암호화 우회 기술 등이 포함됩니다.
이러한 기술적 겹침은 중요하지만, 언더그라운드 데이터는 이야기가 단순히 악성코드 계통을 넘어선다는 점을 보여줍니다.
분석된 게시물들은 위협 행위자가 악성코드를 중심으로 상업적인 사이버 범죄 제품을 적극적으로 구축하고 있음을 보여줍니다. 운영자는 업데이트, 고객 지원, 성능 개선, 추가 수집 기능을 지속적으로 홍보했으며, 이는 정식 소프트웨어 개발 주기와 매우 흡사합니다. 초기 게시물 중 하나에서 운영자는 “적절한 암호화와 중계 서버를 결합하면 약 90%의 성공적인 전달률을 달성할 수 있다”고 주장했으며, 이는 잠재 구매자에게 운영 신뢰성을 확신시키려는 명백한 의도였습니다.
도난당한 세션은 새로운 도난 비밀번호다
REMUS와 같은 인포스틸러는 이제 단순히 자격 증명만을 수집하는 것이 아니라, 쿠키, 브라우저 토큰, MFA를 완전히 우회하는 인증된 세션까지 탈취합니다.
Flare는 다크웹 마켓과 Telegram 채널 전역에서 수백만 건의 스틸러 로그를 지속적으로 모니터링하므로, 공격자가 이를 악용하기 전에 노출된 세션과 자격 증명을 감지할 수 있습니다.
세션 탈취로의 전환과 쿠키 가치 상승
Flare 플랫폼에서 “쿠키”에 대한 높은 수요를 보여주는 예시 스크린샷.
*고객이 아니라면 [무료 체험](https://try.flare.io/bleeping-computer/?utm_campaign=44389735-PM%20-%20Bleeping%