Lumma Stealer kötü amaçlı yazılımının arkasındaki üretken tehdit aktörleri, son aylarda yeraltında yapılan kişisel bilgi toplama kampanyasıyla yavaşlatıldı.
Trend Micro’daki araştırmacılara göre, bu yılın başlarında koordineli kolluk kuvvetleri eylemi, bilgi hırsızlığının yayılmasını yavaşlatmak için pek bir şey yapmadı, ancak yakın zamanda gerçekleştirilen bir kişisel bilgi toplama kampanyasının etkisi olmuş gibi görünüyor.
Tehdit analisti Junestherry Dela Cruz yakın tarihli bir gönderide şunları yazdı: “Eylül 2025’te, Lummastealer ile ilişkili yeni komuta ve kontrol altyapısı faaliyetlerinde çarpıcı bir düşüşün yanı sıra bu kötü şöhretli kötü amaçlı yazılımın hedef aldığı uç noktaların sayısında da önemli bir azalma fark ettik.”
Düşüşü körükleyen şey, Trend’in “Water Kurita” olarak takip ettiği, önemli bir yöneticiyi, geliştiriciyi ve grubun diğer üyelerini hedef alan bir yeraltı ifşa kampanyası oldu.
Lumma Stealer Doxxing Kampanyası Ağustos’ta Başladı
Lumma Stealer’ın bilgi toplama kampanyası Ağustos ayı sonlarında başladı ve Ekim ayına kadar devam etti ve 17 Eylül’de Lumma Stealer’ın Telegram hesapları da ele geçirildi.
Dela Cruz, “Rakipler tarafından yönlendirildiği iddia edilen bu kampanya, sözde çekirdek üyelerin kişisel ve operasyonel ayrıntılarını açığa çıkardı ve Lummastealer’ın altyapısında ve iletişiminde önemli değişikliklere yol açtı” diye yazdı. “Bu gelişme son derece önemlidir ve yılın en önemli bilgi hırsızı kötü amaçlı yazılım operasyonlarından birinde önemli bir sarsıntıya işaret etmektedir. … Doğrulukları ne olursa olsun, operatör kimliklerinin ve altyapı ayrıntılarının açığa çıkması, Lummastealer’ın yaşayabilirliği, müşteri güveni ve daha geniş yer altı ekosistemi üzerinde kalıcı etkiler yaratabilir.”
Açıklamalar, Lumma Stealer olduğu iddia edilen beş operatöre ilişkin pasaport numaraları, banka hesap bilgileri, e-posta adresleri ve çevrimiçi ve sosyal medya profillerine bağlantılar gibi son derece hassas ayrıntıları içeriyordu ve “Lumma Rats” adlı bir web sitesinde sızdırılmıştı.
Kampanya bir rakipten gelmiş olsa da Dela Cruz, “kampanyanın tutarlılığı ve derinliği içeriden bilgi sahibi olunduğunu veya güvenliği ihlal edilmiş hesaplara ve veritabanlarına erişime işaret ediyor” dedi.
Dela Cruz, “İfşa kampanyasına tehditler, siber suç topluluğu içindeki ihanet suçlamaları ve Lumma Stealer ekibinin müşterilerinin operasyonel güvenliğinden ziyade kâra öncelik verdiği iddiaları eşlik etti” diye yazdı.
Araştırmacı, belgelenen bilgilerin doğruluğunun doğrulanmadığını belirtse de, Lumma Stealer faaliyetlerinde buna eşlik eden düşüş, grubun “kilit personel kaybı, güven erozyonu veya daha fazla açığa çıkma korkusu nedeniyle ciddi şekilde etkilendiğini” gösteriyor.
Vidar ve StealC, Lumma Stealer’ın Düşüşünden Kazanç Sağladı
Dela Cruz, Lumma Stealer’ın düşüşünün Vidar ve StealC gibi rakip bilgi hırsızları için bir nimet olduğunu belirtti ve “birçok kullanıcı Lumma Stealer’ın istikrarsızlığı ve destek kaybı nedeniyle bu platformlara geçiş yaptığını bildirdi.”
Lumma’nın düşüşü aynı zamanda Amadey gibi bilgi hırsızlığı yükleri sağlamak için yaygın olarak kullanılan yükleme başına ödeme (PPI) hizmetlerini de etkiledi ve rakip kötü amaçlı yazılım geliştiricileri pazarlama çabalarını hızlandırarak “hızlı inovasyonu körükledi ve MaaS arasındaki rekabeti yoğunlaştırdı” [Malware as a Service] sağlayıcılar, yeni, daha gizli bilgi hırsızlığı varyantlarının pazara girme olasılığını artırıyor” dedi Dela Cruz.
Cyble karanlık web verilerine göre Vidar ve Redline, çalıntı kimlik bilgileri satan karanlık web pazaryerlerinde Lumma’ya en çok rakip olan bilgi hırsızları; StealC, Acreed, Risepro, Rhadamanthys ve Metastealer ise karanlık ağda yaygın olarak görülen diğer hırsız günlükleri arasında yer alıyor.
Lumma Stealer’a gelince, Dela Cruz, RansomHub’un bu yılın başlarında öğrendiği gibi, üst düzey bir siber suç grubu olmanın -kelime oyunu bağışlayın- pek de güvenli bir konum olmadığını belirtti.
“[B]Bir numara olmak, hem defans oyuncuları hem de rakipler tarafından inceleme ve saldırılarla karşı karşıya kalmak anlamına geliyor,” diye belirtti araştırmacı.