Microsoft y el Departamento de Justicia asestan un duro golpe al imperio del malware Lumma

Aranzulla de Los Pobres

Microsoft, en colaboración con el Departamento de Justicia de EE. UU. (DOJ), dio un paso importante en el desmantelamiento de una de las herramientas de ciberdelincuencia más prolíficas actualmente en circulación. La Unidad de Delitos Digitales (DCU) de Microsoft colaboró ​​con el DOJ, Europol y varias empresas globales de ciberseguridad para desmantelar la red de malware Lumma Stealer, una plataforma de malware como servicio (MaaS) implicada en cientos de miles de brechas de seguridad digitales en todo el mundo.

Según Microsoft, Lumma Stealer infectó más de 394.000 equipos Windows entre marzo y mediados de mayo de 2025. Este malware ha sido una herramienta predilecta de los ciberdelincuentes para robar credenciales de inicio de sesión e información financiera confidencial, incluyendo monederos de criptomonedas. Se ha utilizado en campañas de extorsión contra escuelas, hospitales y proveedores de infraestructura. Según el sitio web del Departamento de Justicia , «el FBI ha identificado al menos 1,7 millones de casos en los que LummaC2 se utilizó para robar este tipo de información».

Gracias a una orden judicial del Tribunal de Distrito de EE. UU. para los Distritos del Norte de Georgia, Microsoft desactivó aproximadamente 2300 dominios maliciosos asociados con la infraestructura de Lumma. El Departamento de Justicia desactivó simultáneamente cinco dominios críticos de LummaC2, que actuaban como centros de comando y control para los ciberdelincuentes que implementaban el malware. Estos dominios ahora redirigen a una notificación de incautación del gobierno.

La asistencia internacional provino del Centro Europeo de Ciberdelincuencia (EC3) de Europol y del JC3 de Japón, quienes coordinaron esfuerzos para bloquear servidores regionales. Empresas de ciberseguridad como Bitsight, Cloudflare, ESET, Lumen, CleanDNS y GMO Registry colaboraron en la identificación y el desmantelamiento de la infraestructura web.

Dentro de la operación Lumma

Lumma, también conocido como LummaC2, opera desde 2022, posiblemente antes, y vende su malware de robo de información a través de foros cifrados y canales de Telegram . El malware está diseñado para ser fácil de usar y suele incluir herramientas de ofuscación para evadir el software antivirus. Sus técnicas de distribución incluyen correos electrónicos de phishing selectivo, sitios web de marcas falsificadas y anuncios maliciosos en línea conocidos como "malvertising".

Los investigadores de ciberseguridad afirman que Lumma es particularmente peligroso porque permite a los delincuentes escalar ataques rápidamente. Los compradores pueden personalizar las cargas útiles, rastrear los datos robados e incluso obtener soporte al cliente a través de un panel de usuario dedicado. Microsoft Threat Intelligence vinculó previamente a Lumma con la notoria banda Octo Tempest, también conocida como "Scattered Spider".

En una campaña de phishing a principios de este año, los piratas informáticos lograron falsificar Booking.com y utilizaron Lumma para obtener credenciales financieras de víctimas desprevenidas.

¿Quién está detrás de esto?

Las autoridades creen que el desarrollador de Lumma usa el alias "Shamel" y opera desde Rusia. En una entrevista de 2023 , Shamel afirmó tener 400 clientes activos e incluso presumió de haber marcado a Lumma con el logotipo de una paloma y el eslogan: "Ganar dinero con nosotros es igual de fácil".

Una disrupción a largo plazo, no un golpe de gracia

Aviso de incautación de dominio del FBI del Departamento de Justicia
Imagen utilizada con permiso del titular de los derechos de autor.

Si bien el desmantelamiento es significativo, los expertos advierten que Lumma y herramientas similares rara vez se erradican definitivamente. Aun así, Microsoft y el Departamento de Justicia afirman que estas acciones obstaculizan y perturban gravemente las operaciones delictivas al cortarles la infraestructura y sus fuentes de ingresos. Microsoft utilizará los dominios confiscados como sumideros para recopilar información y proteger aún más a las víctimas.

Esta situación pone de relieve la necesidad de cooperación internacional en la lucha contra los delitos cibernéticos. Los funcionarios del Departamento de Justicia destacaron el valor de las colaboraciones público-privadas, mientras que el FBI señaló que las interrupciones autorizadas por los tribunales siguen siendo una herramienta crucial en la estrategia de ciberseguridad del gobierno.

A medida que la DCU de Microsoft continúa su trabajo, esta ofensiva contra Lumma sienta un sólido precedente de lo que se puede lograr cuando los especialistas de la industria y el gobierno colaboran para eliminar las amenazas.

A medida que se descubran y se interrumpan más organizaciones de este tipo, recuerde protegerse cambiando sus contraseñas con frecuencia y evitando hacer clic en enlaces de remitentes desconocidos.