Microsoft desarticula la principal infraestructura del 'malware' de robo de información internacional, Lumma Stealer

La Unidad de Delitos Digitales de Microsoft (DCU), en coordinación con la Europol y el Departamento de Justicia de Estados Unidos (DOJ), han desarticulado la principal infraestructura del 'malware' de robo de información "más prolífico del mundo", Lumma Stealer, además de incautar la estructura de mando central de la organización.

Activo desde el año 2022, Lumma Stealer es un 'malware' que permite a los ciberdelincuentes robar contraseñas, datos bancarios, tarjetas de crédito y monederos de criptomonedas. Así, utilizado como un 'malware as a service' (MaaS), ha sido el responsable de ataques a nivel global, afectando a "cientos de miles" de ordenadores Windows, incluyendo a Europa y España, con consecuencias como la interrupción de servicios, extorsiones y vaciado de cuentas.

Ahora, mediante una orden judicial emitida por el Tribunal de Distrito Norte de Georgia en Estados Unidos y la colaboración de socios de la industria y de otras autoridades como Europol, Microsoft ha conseguido facilitar el desmantelamiento de la columna vertebral de la infraestructura de Lumma Stealer, suspendiendo y bloqueando su funcionamiento.

Asimismo, el Departamento de Justicia estadounidense, también ha incautado la estructura del mando central de Lumma, interrumpiendo así su actividad en los mercados en los que se vendía el 'malware' a otros ciberdelincuentes. Siguiendo esta línea, el Centro Europeo de Ciberdelincuencia (EC3) y el Centro de Control de la Ciberdelincuencia de Japón (JC3), también han facilitado la suspensión de la infraestructura local de Lumma.

Según ha detallado la tecnológica en un comunicado en su blog, esta persecución se puso en marcha cuando la DCU de Microsoft interpuso una acción legal contra Lumma Stealer el pasado 13 de mayo, que permitió poner en común los esfuerzos de las distintas organizaciones para desarticular este 'software' malicioso y su organización.

Concretamente, para detener su actividad maliciosa, Microsoft ha detallado que han cortado las comunicaciones entre el 'malware' y las víctimas. Además, han incautado más de 1.300 dominios relacionados con ciberataques Lumma, de entre los que se incluyen 300 dominios intervenidos por EC3, que serán redirigidos a Microsoft 'sinkholes'.

De esta forma, DCU de Microsoft podrá proporcionar información procesable para seguir reforzando la seguridad en sus servicios y, con ello, ayudar a proteger a los usuarios 'online' de este tipo de ataques.

Igualmente, la tecnológica ha señalado que esta información también ayudará a sus socios a seguir rastreando, investigando y corrigiendo dicha amenaza. Con todos estos esfuerzos conjuntos, se conseguirá ralentizar la velocidad con la que los ciberdelincuentes pueden lanzar sus ataques, al minimizar la eficacia de sus campañas y "obstaculizar sus beneficios ilícitos".

IMPACTO DE LUMMA STEALER

Los primeros indicios de actividad de Lumma Stealer se remontan al año 2022 y, desde entonces los desarrolladores han vendido, a través de foros clandestinos, múltiples versiones que mejoraban continuamente sus capacidades de ataque.

En este sentido, el objetivo de este 'malware' es monetizar la información robada o explotarla para diversos fines. Sin embargo, destaca por la facilidad que tiene para propagarse y, al mismo tiempo, lo difícil que es detectarlo, ya que puede programarse para eludir ciertas barreras de seguridad, según ha detallado Microsoft.

Esto lo hace el 'malware' "más prolífico del mundo" y, por tanto es muy recurrido por los ciberdelincuentes y los actores de amenazas 'online'. De hecho, ha sido utilizado por actores de 'ransomware' como Octo Tempest (Scattered Spider).

Actualmente, solo entre el 16 de marzo y el 16 de mayo de este año Microsoft ha identificado más de 394.000 ordenadores Windows infectados con Lumma a nivel global, para lo que se han utilizado métodos de distribución a través de correos electrónicos de 'spear-phishing' y 'malvertising', así como la suplantación de identidad haciéndose pasar por marcas de confianza.

Según ha ejemplificado la compañía, en marzo de 2025 se identificó una campaña de 'phishing' que se hacía pasar por la agencia de viajes Booking.com y utilizaba múltiples 'malwares' de robo de credenciales, incluido Lumma, para llevar a cabo robos con fines lucrativos.

Con todo ello, esta operación para desarticular Lumma Stealer también ha contado con la colaboración de compañías de ciberseguridad como ESET, Cloudflare y Bitsight, entre otras. Por lo que Microsoft ha señalado que continuarán colaborando y mejorando sus servicios para poder identificar nuevas formas de interrumpir las actividades maliciosas.