Bitdefender ha publicado una nueva investigación que revela el regreso de LummaStealer, una de las operaciones de malware especializado en el robo de información más activas a nivel mundial. La actividad del grupo vuelve a producirse a gran escala pese a la operación policial de 2025 que neutralizó miles de dominios de mando y control.

La investigación documenta cómo LummaStealer reconstruyó rápidamente su infraestructura, adaptó sus técnicas de distribución y reanudó su propagación global tras la interrupción de miles de dominios de mando y control.

Según Bitdefender, el malware se distribuye actualmente principalmente a través de campañas de ingeniería social, y no mediante exploits. Entre los vectores más utilizados destacan los CAPTCHA falsos (“ClickFix”), así como descargas fraudulentas de juegos y contenidos multimedia.

El análisis también muestra que CastleLoader desempeña un papel central en la cadena de distribución de LummaStealer. Este cargador de malware utiliza ejecución en memoria y una fuerte ofuscación para entregar la carga maliciosa y evadir la detección.

Además, Bitdefender ha identificado solapamientos en la infraestructura de CastleLoader y LummaStealer, lo que sugiere servicios compartidos o coordinación entre ambas operaciones.

El impacto a largo plazo de LummaStealer es significativo, ya que permite el robo de credenciales y puede derivar en toma de control de cuentas, fraude financiero, robo de identidad y extorsión.