On l’avait vu tomber au printemps 2025, puis ressusciter dès l’été. Début 2026, Lumma Stealer confirme qu’il n’a jamais vraiment quitté la scène. Bitdefender décrit une reprise d’activité portée par CastleLoader et des campagnes qui misent avant tout sur la manipulation des internautes.
Mai 2025, Microsoft et Europol annoncent une vaste opération coup de filet censée réduire Lumma Stealer au silence. Plusieurs milliers de domaines sont saisis ou neutralisés, les communications sont coupées, l’infrastructure partiellement mise hors service. Juillet, le malware est déjà à nouveau sur pied, relancé depuis d’autres serveurs, selon une organisation plus fragmentée, toujours vendu comme un produit clé en main aux affiliés. Un retour express, certes, mais finalement assez prévisible au regard des schémas de résurgence régulièrement observés dans la lutte contre la cybercriminalité.
Depuis, Lumma Stealer circule de nouveau à grande échelle, y compris en France, et opère désormais en tandem avec CastleLoader, un loader modulaire chargé d’orchestrer les premières étapes de l’infection et de pérenniser l’exécution du stealer sur les systèmes visés.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un stealer toujours actif, désormais épaulé par un acolyte
D’après les échantillons analysés par Bitdefender, peu de surprises. Lumma Stealer continue de faire ce qu’il sait faire, à savoir voler des identifiants, des cookies de session, des documents, des données liées aux portefeuilles crypto, des configurations VPN. Bref, tout ce qui permet de prendre le contrôle de comptes sensibles et d’en tirer profit.
Mais cette fois, il ne travaille pas seul. Lumma Stealer fait désormais appel à un complice nommé CastleLoader, chargé de préparer le terrain et de faciliter l’implantation du stealer sur les machines compromises.
Dans le détail, CastleLoader agit comme une étape intermédiaire. Il ne vole rien lui-même, mais s’intercale entre le fichier initial exécuté par la victime et Lumma Stealer, qu’il charge directement en mémoire afin de limiter les traces sur le disque et de compliquer l’analyse.
Son code, volontairement obscurci et structuré en plusieurs couches, permet de faire évoluer rapidement la charge diffusée ou la méthode utilisée sans avoir à revoir l’ensemble de la chaîne. Cette flexibilité rend les campagnes plus durables et plus difficiles à perturber.
Avant l’exécution, CastleLoader procède à plusieurs vérifications. Il cherche à repérer les environnements de test ou d’analyse, et interrompt son activité s’il détecte certains outils de virtualisation. Il ajuste aussi sa persistance selon les protections installées sur la machine, en modifiant les chemins et les fichiers utilisés pour s’adapter à l’antivirus détecté.
Détail utile côté détection, Bitdefender indique que CastleLoader laisse malgré lui une trace DNS récurrente, liée à une résolution vers un domaine inexistant généré à partir d’une chaîne aléatoire répétée. La résolution échoue, mais la requête apparaît dans les journaux réseau et peut servir d’indicateur pour repérer une campagne en cours ou relier plusieurs échantillons entre eux.
Des campagnes qui misent sur la manipulation des utilisateurs et utilisatrices
On rappellera que Lumma Stealer a fait du social engineering sa spécialité. Dans la majorité des cas recensés, l’infection débutait par une action de la victime, le gros des campagnes s’appuyant sur des techniques ultra-classiques comme la diffusion de faux cracks de logiciels, de pages de phishing, de dépôts GitHub piégés, ou encore de leurres ClickFix.
D’où l’importance, côté utilisateur, de télécharger ses logiciels et applications depuis les canaux officiels, de fuir les versions pirates (illégales, qui plus est) et les installateurs miracle, et de considérer comme malveillant tout site qui suggère de copier-coller une commande dans un terminal sous couvert de résolution de problème.
Enfin, si vous suspectez une infection, isolez immédiatement la machine afin de couper toute communication avec l’infrastructure de commande et d’éviter une exfiltration supplémentaire. Lancez ensuite une analyse antivirus complète et supprimez les éléments détectés. Les identifiants ne doivent être réinitialisés qu’à partir d’un appareil sain, en priorité pour la messagerie et les services financiers, avec révocation des sessions actives et activation systématique de l’authentification multifacteur. Pensez également à régénérer les clés, tokens ou fichiers de configuration susceptibles d’avoir été récupérés.
Source : Bitdefender
