2300 dominios destruidos — pero el núcleo resistió. Lumma ha vuelto: más maliciosa, silenciosa y peligrosa

Tras una operación a gran escala por parte de las fuerzas del orden en mayo, durante la cual se desactivaron más de 2300 dominios y se interrumpió parcialmente la infraestructura, la plataforma maliciosa Lumma vuelve a mostrar signos de crecimiento. A pesar del golpe serio, el servicio no cesó completamente su actividad: los operadores reaccionaron con rapidez y comenzaron a restaurar su capacidad operativa.

Según Trend Micro, se trata de uno de los servicios más resistentes y rentables que operan bajo el modelo de malware como servicio (MaaS), centrado en el robo de datos confidenciales. Casi inmediatamente después de que parte de su infraestructura fuera destruida, representantes de Lumma anunciaron en foros de la darknet que su servidor principal no había sido tomado por las autoridades, a pesar de haber sido eliminado de forma remota. En ese mismo lugar, informaron del inicio de los trabajos de restauración de la plataforma.

En las semanas siguientes, la telemetría de Trend Micro registró una activa reconstrucción de la base técnica: el número de nodos de control aumentaba, y el tráfico malicioso volvió a alcanzar volúmenes significativos. Según los analistas, el nivel de operaciones de Lumma casi ha regresado a los valores previos a los eventos de mayo.

En esta nueva iteración, los atacantes abandonaron el uso de servicios en la nube como Cloudflare, que suelen ser bloqueados a petición de las autoridades. En su lugar, han migrado a la infraestructura del proveedor ruso Selectel, cuya jurisdicción dificulta la intervención legal por parte de organismos internacionales. Para ocultar las comunicaciones de comando y control, siguen utilizando servicios de alojamiento legítimos, lo que permite al malware mantenerse oculto y evitar ser detectado.

Actualmente, Lumma se propaga activamente a través de cuatro canales de distribución independientes. Esto no solo indica la recuperación de su infraestructura técnica, sino también que los operadores están llevando a cabo una campaña deliberada de infección de nuevos dispositivos.

Falsos cracks y keygens. Mediante anuncios publicitarios en motores de búsqueda y manipulaciones SEO, los usuarios son redirigidos a sitios falsos. Estos incluyen sistemas de filtrado (TDS) que analizan los parámetros del dispositivo antes de entregar el cargador de Lumma.

Mecanismos ClickFix. En sitios web comprometidos se muestran falsos CAPTCHA que incitan a la víctima a ejecutar comandos de PowerShell manualmente. Estos scripts inyectan el malware directamente en la memoria, eludiendo el sistema de archivos y el software antivirus.

Repositorios de GitHub. Los atacantes publican descripciones generadas de trucos para videojuegos junto con archivos maliciosos como "TempSpoofer.exe" o archivos comprimidos. Todo ello se presenta como un proyecto abierto, creando una apariencia de legitimidad.

YouTube y Facebook. A través de vídeos y publicaciones se promociona software supuestamente crackeado. En las descripciones se colocan enlaces a sitios externos con el cargador de Lumma, a veces pasando por sites.google.com para aumentar la confianza del usuario objetivo.

Este esquema de entrega tan diversificado convierte a Lumma en una amenaza seria en manos de los atacantes. A pesar de la limpieza realizada anteriormente, la ausencia de arrestos y casos penales permite a los principales implicados continuar sus actividades casi sin interrupciones. En la práctica, operaciones de este tipo se han convertido en parte rutinaria del ecosistema MaaS.

Como vemos, ni siquiera las grandes operaciones internacionales garantizan el cese de las actividades de los servicios maliciosos si no van acompañadas de medidas de responsabilidad personal específicas.