Num raro momento de fragilidade para um MaaS amplamente utilizado no submundo, o Lumma Stealer teve seus operadores expostos por hackers rivais. A Trend Micro identifica o grupo como Water Kurita, cuja “doxxing” interna abriu luz sobre identidades-chave e questionou a solidez da operação desde setembro de 2025.
Entre o fim de agosto e início de outubro de 2025, foram divulgadas informações pessoais e operacionais de cinco indivíduos apontados como mentores da operação, incluindo passaportes, registros financeiros, e-mails e documentos ligados tanto à administração quanto à parte técnica, inclusive o responsável pelo cryptor do malware. O material foi publicado no site Lumma Rats, autointitulado espaço de chantagem e disputa entre grupos do submundo.
Como consequência imediata, a Trend Micro reportou queda expressiva na atividade do Lumma desde setembro. A infraestrutura de comando-e-controle (C2), fundamental para coleta de dados e exfiltração, passou por falhas recorrentes, levando clientes a migrar para serviços rivais como Vidar e StealC. Mesmo o modelo de pagamento por instalação (PPI) encolheu, refletindo insegurança e dano reputacional.
O Lumma Stealer surgiu em 2022, vendendo credenciais de navegadores, cookies e carteiras de criptomoedas via fóruns em russo e canais no Telegram, com licenças que variavam de valores baixos a dezenas de milhares de dólares. Em maio de 2025, autoridades internacionais apreenderam mais de 2.300 domínios ligados ao Lumma; ainda assim, o malware já tentava retomar operações meses depois, migrando para infraestruturas menos expostas e renovando seu arsenal de distribuição em GitHub, YouTube e cracks de software.
O episódio evidencia que, mesmo em um ecossistema percebido como estável, disputas internas, vazamentos e rupturas de confiança podem derrubar operações inteiras. Para executivos de TI e líderes de segurança, o recado é claro: acompanhar apenas ataques é insuficiente; é preciso traçar a cadeia de oferta de ameaças e monitorar como grupos de crime se reconfiguram após choques como esse.
À medida que o mercado de infostealers permanece volátil, espera-se que o Lumma tente retomar atividades, ainda que enfrentando maior escrutínio e risco reputacional. Plataformas concorrentes, como Vidar, já exibem versões com arquitetura reescrita para explorar o vácuo deixado pelo Lumma, reforçando a necessidade de vigilância proativa por parte das empresas.
