Lumma, le retour incertain d’un infostealer traqué

Les autorités ont frappé fort, mais les développeurs de Lumma, logiciel pirate, tentent de reprendre leur activité de cybercriminalité, malgré une opération mondiale de démantèlement de leur infrastructure.

En mai 2025, un coup de filet international coordonné a ciblé l’un des infostealers les plus actifs du moment, Lumma. Cette opération, impliquant des géants de la cybersécurité et plusieurs agences gouvernementales, a permis la saisie de milliers de domaines liés à l’infrastructure malveillante. Pourtant, à peine quelques semaines plus tard, des tentatives claires de relance du réseau Lumma, illustrant la résilience des cybercriminels face à la pression policière croissante.

Une opération internationale d’envergure

Le 15 mai 2025, les autorités judiciaires américaines, en collaboration avec Europol, le Japan Cybercrime Control Center (JC3), et des entreprises comme Microsoft, Cloudflare, ESET, CleanDNS, Bitsight, Lumen et GMO Registry, ont procédé à la saisie de près de 2 300 domaines liés à Lumma, selon les informations officielles communiquées par le ministère américain de la Justice.

Parmi eux, cinq domaines critiques hébergeant les panneaux de commande du malware ont été placés sous scellés fédéraux. Microsoft, à qui plus de 1 300 domaines ont été transférés, a mis en place un système de « sinkholing » pour recueillir des informations sur les machines infectées et les flux de données, permettant une surveillance et une collaboration plus efficace avec les partenaires du secteur privé et public.

Connu depuis plusieurs années, l’administrateur de LUMMA s’affiche sur certains espaces pirates Russe. – Capture : ZATAZ

Le sinkholing (ou sinkhole DNS) est une technique défensive utilisée en cybersécurité pour intercepter et neutraliser le trafic malveillant, en redirigeant les connexions des malwares vers un serveur contrôlé par les défenseurs, au lieu du serveur de commande et de contrôle (C2) du pirate.

Malgré l’ampleur de l’opération, les cybercriminels derrière Lumma semblent ne pas avoir été totalement neutralisés. Le serveur principal, bien qu’inaccessible physiquement, a été infiltré grâce à une faille jusque-là inconnue dans l’outil d’administration iDRAC de Dell, permettant aux autorités d’effacer les sauvegardes du malware. Néanmoins, les attaquants affirment que le serveur n’a pas été saisi en raison de sa localisation géographique confidentielle. Les sites des pirates affichent l’alerte du FBI comme montrait ci-dessous.

L’un des sites « LUMMA » saisi. – Capture : ZATAZ

Une reprise d’activité déjà amorcée

ZATAZ a pu remarquer que quelques heures aprés l’annonce de la saisie, des dizaines de groupes (tous reliés entre aux) ont commencé à diffusé des dizaines de samples (exemples) d’ordinateurs infiltrés par un infostealer passant (pas tous), par Lumma. Selon un rapport de Check Point Research publié fin mai 2025, les serveurs de commande et de contrôle (C2) de Lumma seraient toujours en activité. La collecte d’informations volées, comme les identifiants, cookies et empreintes numériques, se poursuit, et ces données restent disponibles à la vente sur les places de marché clandestines. Pour vous donner une idée, en 24 heures, ZATAZ a repéré 64 nouveaux groupes. 80% ont disparu en une semaine. Un markerting de la malveillance que les autorités ont tenté de bloquer en fermant certains « spots » mis en ligne par les malveillants sur des réseaux sociaux et messages tels que Telegram, Discord ou encore Signal.

Les chercheurs notent que « les développeurs de Lumma déploient des efforts significatifs pour restaurer leur chaîne de compromission et reprendre leurs activités à pleine capacité« . Cette persistance démontre que l’infrastructure criminelle s’adapte rapidement, malgré les pertes subies. Toutefois, les perspectives du groupe restent incertaines, tant sur le plan technique que psychologique.

Le FBI a écrit plusieurs fois aux « clients » pirates de LUMMA. – Captures : ZATAZ

Parallèlement, les forces de l’ordre ont mis en place une stratégie plus subtile : une fausse page d’identification, imitant les véritables interfaces Lumma, a été utilisée pour récolter les identifiants des clients du malware. En complément, un script JavaScript embarqué visait à accéder aux webcams des visiteurs, permettant une collecte plus poussée de renseignements. Ce type d’opération, surnommée « watering hole », vise à démanteler les réseaux non pas seulement par la force, mais par la tromperie.

Une réputation entachée dans les forums underground

Si l’infrastructure de Lumma n’a pas été totalement démantelée, son image, elle, a subi un sérieux revers. Sur les forums de cybercriminels, les discussions abondent autour de la sécurité du stealer. La confiance des utilisateurs semble ébranlée, notamment après la découverte que certaines informations sensibles ont été interceptées par les autorités à travers leur page de phishing.

La perte de crédibilité peut être un frein aussi puissant que l’intervention technique. Les clients potentiels se montrent méfiants, craignant que leurs données ou identités soient compromises à leur tour. Dans l’écosystème de la cybercriminalité, la réputation est un actif stratégique, parfois aussi précieux que l’anonymat.