Este miércoles, el Departamento de Justicia (DOJ, «por sus siglas en inglés») de Estados Unidos, en un comunicado anunció, que en una acción coordinada con Microsoft y una serie de socios internacionales, ha llevado a cabo una operación significativa para desmantelar la infraestructura del malware LummaC2 (también conocido como Lumma Stealer).
Este malware, vendido como “malware-as-a-service” (MaaS), ha sido utilizado por ciberdelincuentes para robar información sensible de millones de víctimas en todo el mundo, especialmente usado para robar información clave para facilitar transferencias bancarias fraudulentas y el robo de criptomonedas.
Sue J. Bai, jefa de la División de Seguridad Nacional del DOJ, declaró: “El Departamento seguirá utilizando sus herramientas, facultades y alianzas únicas para desmantelar operaciones cibernéticas maliciosas y redes criminales”.
“La interrupción de hoy es otro ejemplo de cómo nuestros fiscales, agentes y socios del sector privado unieron fuerzas para protegernos de las persistentes amenazas a la ciberseguridad que afectan a nuestro país. Agradecemos su trabajo y dedicación”.
“Malware como LummaC2 se implementa para robar información confidencial, como las credenciales de inicio de sesión de millones de víctimas, con el fin de facilitar una serie de delitos, como transferencias bancarias fraudulentas y el robo de criptomonedas”, declaró Matthew R. Galeotti, jefe de la División Penal del DOJ.
Microsoft, a través de su Unidad de Crímenes Digitales (DCU, «por sus siglas en inglés»), inició una acción legal civil en el Tribunal de Distrito de Estados Unidos para el Distrito Norte de Georgia, donde solicitó una orden para intervenir en la red de servidores de los ciberpiratas.
Una vez obtenida la orden judicial, Microsoft procedió a incautar y redirigir aproximadamente 2.300 dominios maliciosos que constituían la columna vertebral de la infraestructura de comunicación de LummaC2.
Más de 1.300 de estos dominios incautados fueron redirigidos a servidores “sinkhole” controlados por Microsoft. Esto interrumpe la comunicación entre los sistemas infectados y los servidores de comando y control (C2) de los atacantes, evitando que el malware siga recibiendo instrucciones o exfiltre datos.
Además, esto también permite a Microsoft recopilar telemetría para monitorear las devoluciones de llamada y ayudar en la inteligencia de amenazas. El “sinkholing de dominios” (o “DNS sinkholing”) es una técnica de ciberseguridad utilizada para redirigir el tráfico de dominios maliciosos conocidos hacia un servidor controlado por los investigadores o las autoridades.
Esto se hace con la finalidad de interrumpir la conexión con los servidores de comando y control (C2) de los atacantes y que los datos robados en las computadoras infectadas lleguen a los sitios web fraudulentos.
El DOJ anunció la revelación de dos órdenes judiciales que autorizaban la incautación de cinco dominios de internet utilizados por los ciberactores para operar el servicio de malware LummaC2. Esta operación, comenzó inicialmente, el 19 de mayo, cuando el gobierno incautó dos dominios.
Una vez que los administradores de LummaC2 intentaron restablecer el servicio al día siguiente, informando a sus usuarios sobre tres nuevos dominios, el DOJ actuó rápidamente y también los incautó al día siguiente.
Los dominios incautados por el DOJ servían como “paneles de usuario” o páginas de inicio de sesión, desde donde los afiliados y otros ciberdelincuentes accedían y desplegaban LummaC2. La incautación de estos dominios impide que los operadores y ciberdelincuentes utilicen los sitios web para acceder a LummaC2 y comprometer más computadoras.
El Oficina Federal de Investigación (FBI, «por sus siglas en inglés») también tomó el control de al menos un canal de Telegram utilizado por Lumma, reemplazando su contenido con un mensaje que anunciaba la incautación de la infraestructura y la revocación permanente del acceso para los suscriptores, además de informar que los registros de usuarios y la información de la cuenta estaban ahora en manos de las autoridades estadounidenses.
Esta operación fue de una magnitud colosal, ya que involucró también a Europol y el Centro de Control de Ciberdelincuencia de Japón (JC3), por lo que este nivel de colaboración de agencias de aplicación de la ley a nivel global, también fue clave para interrumpir todo el control que tenían los ciberpiratas a través de miles de sitios.
De hecho, Europol trabajó con sus contrapartes en toda Europa para asegurar que la infraestructura alojada en la UE fuera desconectada, mientras que el JC3 de Japón facilitó la suspensión de la infraestructura basada en su país.
Por otro lado, las empresas de ciberseguridad como ESET, Bitsight, Lumen, Cloudflare, CleanDNS y GMO Registry también contribuyeron significativamente al éxito de la operación, ayudando en la incautación y el desmantelamiento de los dominios y la infraestructura de comando y control.
La operación es un claro ejemplo de cómo las asociaciones público-privadas son fundamentales en la lucha contra la ciberdelincuencia, permitiendo combinar la capacidad de coordinación de las agencias de aplicación de la ley con el conocimiento técnico de las empresas de ciberseguridad.
Al interrumpir la comunicación entre el malware y sus servidores C2, los dispositivos infectados ya no pueden enviar información robada ni recibir nuevas instrucciones, limitando el daño continuo a los usuarios de estos dispositivos.
Se estima que LummaC2 había infectado más de 394.000 dispositivos Windows entre marzo y mayo de 2025, y el FBI calcula que estuvo involucrado en aproximadamente 10 millones de infecciones a nivel global.
Al atacar los paneles de control y los mercados donde LummaC2 se vendía y distribuía, se dificulta significativamente la capacidad de los ciberdelincuentes para adquirir y desplegar este malware, así como también, obtener datos robados (como contraseñas de monederos electrónicos, datos bancarios, claves de correo electrónico y redes sociales, entre muchos otros datos) de los equipos infectados.
La incautación de dominios y el control de los canales de comunicación también proporcionan a las autoridades acceso a valiosa evidencia para futuras investigaciones y procesamientos a nivel judicial de los responsables de estos ciberataques (tanto desarrolladores como clientes).
Claramente, estas acciones envían un mensaje claro a la comunidad cibercriminal de que las autoridades a nivel mundial están comprometidas a perseguir y desmantelar las operaciones de malware a gran escala.
No obstante, a pesar de esta exitosa interrupción, el FBI y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA, «por sus siglas en inglés») han emitido una advertencia conjunta sobre la continua explotación del malware LummaC2 por parte de actores de amenazas que apuntan a sectores de infraestructura crítica de Estados Unidos, lo que subraya la naturaleza persistente de la amenaza cibernética.
Asimismo, CISA informó datos clave sobre el funcionamiento de LummaC2 y explicó que apareció por primera vez a la venta en varios foros de ciberdelincuentes en ruso en 2022. Los cibercriminales suelen usar hipervínculos y archivos adjuntos de phishing para distribuir las cargas útiles del malware LummaC2.