«Soy hacker, pero también soy agente inmobiliario». Quiénes están detrás de Lumma Stealer y cómo construyen una corporación subterránea
Robo de datos, apartamentos falsos y toda una red de servicios clandestinos.
Los especialistas de Insikt Group presentaron la primera investigación detallada sobre la actividad de los afiliados de Lumma Stealer —una de las familias de malware más extendidas orientadas al robo de datos. El trabajo cubre el periodo desde mediados de 2024 hasta la primera mitad de 2025 y revela un ecosistema a gran escala que sostiene el funcionamiento de Lumma. En su base no está solo el propio malware, sino todo un conjunto de servicios auxiliares: redes proxy, VPN, navegadores anti-detección especializados para trabajar con múltiples perfiles, servicios para crear exploits y cifrado, herramientas para eludir protecciones e infraestructura para un funcionamiento resistente.
Una de las conclusiones clave es que los afiliados de Lumma rara vez se limitan a un solo esquema. Por ejemplo, se documentaron casos en los que un mismo operador participaba simultáneamente en estafas relacionadas con el alquiler de viviendas y utilizaba varios servicios MaaS a la vez —entre ellos Vidar, Stealc y Meduza Stealer. Ese enfoque aumenta la flexibilidad de las operaciones, reduce el riesgo de ser descubierto y permite mantener la rentabilidad incluso si las fuerzas del orden bloquean elementos individuales de la infraestructura.
La investigación reveló herramientas hasta ahora desconocidas, incluyendo un validador de credenciales de correo electrónico comprometido EMAIL SOFTWARE 1.4.0.9 y un generador de páginas de phishing llamado DONUSSEF. Estos programas se usaban para verificar inicios de sesión robados, crear sitios falsos y llevar a cabo ataques asociados. Parte de los operadores de Lumma emplea activamente phishing en combinación con servicios de envío masivo de correos, SMS spam y páginas de acceso fraudulentas. Para garantizar el anonimato utilizan proxies como GhostSocks, ASocks, FACELESS y otros, así como VPN de ExpressVPN, NordVPN, Proton VPN y Surfshark. Para gestionar multitud de cuentas los atacantes recurren a navegadores anti-detección como Dolphin, Octo Browser y equivalentes, que permiten enmascarar huellas digitales.
Parte de la infraestructura se apoya en el llamado alojamiento "bulletproof" (bulletproof hosting), incluyendo AnonRDP, Bulletproof Hosting y HostCay, así como en plataformas legítimas como MEGA o ImgBB. Para eludir antivirus y filtros de correo los afiliados usan el servicio Hector, que proporciona exploits y cifradores para diversos formatos de archivo, incluidos Excel y documentos de Office con macros. Para probar archivos infectados antes de distribuirlos se emplean plataformas como KleenScan, que prometen no compartir muestras con las compañías antivirus.
Un eslabón fundamental del ecosistema Lumma son los foros delictivos cibernéticos. Es allí donde reclutan nuevos participantes, se venden crypters, tráfico e infraestructura, y también se comercializan los datos robados. Por ejemplo, en Russian Market en 2024 hasta el 92% de todos los registros publicados correspondían a Lumma. Y tiendas especializadas de carding permiten monetizar rápidamente los datos robados de tarjetas y cuentas bancarias. En los foros también hay material formativo, lo que reduce la barrera de entrada para los recién llegados y convierte a estas comunidades en una cantera de personal para las redes criminales.
El análisis también mostró que los afiliados de Lumma experimentan con distintos esquemas. Así, un operador conocido como blackowl23 fue detectado en una estafa en la plataforma alemana WG-Gesucht: anuncios falsos de alquiler se complementaban con enlaces falsos a booking.com y las víctimas eran convencidas de adelantar pagos. Para cubrirse empleaban cuentas de usuarios del sitio robadas. Otros actores realizaban al mismo tiempo estafas con monederos de criptomonedas, credenciales bancarias y accesos a sistemas corporativos.
A pesar de la intervención de las fuerzas del orden en la primavera de 2025, Lumma demostró una alta resiliencia: la infraestructura se recuperó en cuestión de días y la actividad de los afiliados no disminuyó. Insikt Group subraya que el ecosistema está construido de forma descentralizada: incluso operaciones exitosas contra el núcleo de la red solo pueden reducir temporalmente la intensidad de los ataques. La supresión total solo es posible con presión constante por parte de las autoridades y un monitoreo sistemático del darknet y de los foros.
Para protegerse de amenazas similares, los expertos recomiendan a las organizaciones controlar las fugas de datos, usar reglas YARA, Sigma y Snort para detectar infecciones, limitar las descargas desde recursos desconocidos, formar al personal para reconocer redirecciones y páginas falsas, y vigilar la actividad en la red oscura. A largo plazo, la defensa exige no solo medidas técnicas, sino un análisis constante del panorama delictivo, donde Lumma sigue siendo una de las fuerzas más influyentes.
¿Estás cansado de que Internet sepa todo sobre ti?