Rhadamanthys: operatorzy infostealera tracą dostęp do paneli. Co to znaczy dla obrońców? - Security Bez Tabu

Rhadamanthys: operatorzy infostealera tracą dostęp do paneli. Co to znaczy dla obrońców?

Wprowadzenie do problemu / definicja luki

Wczoraj (11 listopada 2025 r.) pojawiły się liczne doniesienia, że infrastruktura Rhadamanthys — popularnego infostealera sprzedawanego w modelu Malware-as-a-Service (MaaS) — została zakłócona. Użytkownicy-klienci (tzw. „abonenci” malware’u) zaczęli masowo tracić dostęp SSH do swoich paneli webowych służących do agregacji wykradzionych danych. W części przypadków tryb logowania został rzekomo wymuszony na logowanie certyfikatem, a nie hasłem root, co abonenci łączyli z działaniami organów ścigania, m.in. w Niemczech. Sprawę jako pierwsze opisało BleepingComputer, wskazując też na niedostępność onion-witryn i spekulacje o możliwym związku z Operation Endgame (międzynarodową kampanią LEA przeciwko ekosystemowi MaaS).

W skrócie

  • Co się stało: Liczni „klienci” Rhadamanthys zgłaszają utratę dostępu do serwerów paneli i zmianę metod uwierzytelniania SSH. Torowe serwisy Rhadamanthys są offline (bez klasycznych banerów przejęcia).
  • Dlaczego to istotne: Nawet częściowe przejęcie/zakłócenie zaplecza MaaS przerywa cykl monetyzacji skradzionych danych (sprzedaż logów/kont), co daje obrońcom czas na reset haseł, unieważnianie ciasteczek, blokady sesji.
  • Kontekst: W 2024–2025 Rhadamanthys szybko ewoluował (wersje 0.7.x–0.9.x), wprowadzając m.in. OCR do ekstrakcji seed phrase’ów z obrazów oraz nowe łańcuchy infekcji (np. ClickFix).
  • Hipoteza: Zakłócenie może być kolejnym „sezonem” Operation Endgame, która w 2024–2025 rozbijała infrastrukturę botnetów/loaderów i usług pomocniczych (setki serwerów, setki domen). Strona Endgame zapowiadała kolejne działania i raportowała wcześniejsze sukcesy.

Kontekst / historia / powiązania

Rhadamanthys pojawił się pod koniec 2022 r. (wczesne próbki: 2022), szybko zyskując popularność dzięki C++, modularności i agresywnym technikom anty-analizy oraz dystrybucji przez malvertising (fałszywe reklamy/„cracki”) i kampanie phishingowe. Z czasem dołączyły łańcuchy ClickFix (mshta/HTA) i kampanie podszywające się pod naruszenia praw autorskich. Grupa TA547 wykorzystywała go w atakach na niemieckie organizacje.

Równolegle Operation Endgame — koordynowana przez Europol/Eurojust i partnerów (w tym BKA, FBI, NCA, USSS) — od 2024 r. uderza w kluczowe elementy „kill chainu” cyberprzestępców: botnety, loadery, infrastrukturę proxy i usługi „AV-check”. W maju 2025 r. podano liczby: ~300 serwerów i ~650 domen wyłączonych w jednym z etapów.

Analiza techniczna / szczegóły luki

Model biznesowy Rhadamanthys (MaaS)

  • Abonamenty dają dostęp do binarek/loadera, wsparcia i panelu www zbierającego logi (hasła, cookies, dane portfeli). Panel to „punkt grawitacji” całej operacji — i kluczowy cel dla LEA.
  • Ewolucja funkcji:
    • v0.7.x (2024): dodany moduł OCR do ekstrakcji seed phrase’ów z obrazów, wsparcie uruchamiania MSI, silniejsze anty-analizy.
    • v0.9.2 (2025): istotne zmiany w pakowaniu/telemetrii i interakcjach z narzędziami badawczymi; wpływ na reguły detekcji.

Łańcuchy infekcji obserwowane w 2024–2025

  • Malvertising / „cracki” / SEO-poisoning → downloader/loader → stealer → eksfiltracja do panelu.
  • Phishing (copyright/DMCA lures) → archiwum/skrót + mshta/HTA (ClickFix) → stealer.
  • Kampanie e-mail (TA547, DE) → PowerShell, czasem artefakty składni sugerujące generację LLM → Rhadamanthys.

Co oznacza bieżące zakłócenie?

  • Utrata paneli = przecięty kanał C2/monetyzacji. Nawet jeśli binarki w terenie „żyją”, nie ma gdzie zrzucać danych lub aktorzy boją się korzystać z przejętej infrastruktury.
  • Zmiana SSH na cert-auth i odcięcie haseł root sugerują interwencję na hostach (seizure/forensic live response) lub akcję operatora infrastruktury pod nadzorem LEA. To zgodne z metodyką Endgame: uderz w serwery i domeny. (Wciąż brak oficjalnego potwierdzenia dla konkretnie Rhadamanthys.)

Praktyczne konsekwencje / ryzyko

  • Ryzyko re-spawn: Historia pokazuje, że po „takedownie” forki/następcy wracają pod inną marką, często z migracją C2 do nowych hostingów.
  • Okno możliwości dla obrony: To czas na masowe resety haseł, unieważnianie cookies/sesji, rotację tokenów OAuth, monitoring nietypowych logowań i ofensywne wyszukiwanie artefaktów.
  • Ryzyko „data leak później”: Jeśli LEA przejęły panele, część danych ofiar może zostać zabezpieczona; jeśli nie — przestępcy mogą próbować odtwarzać logi z endpointów lub backupów C2. Dlatego incydent traktujemy jak aktywny.

Rekomendacje operacyjne / co zrobić teraz

1) Reakcja na poziomie tożsamości i sesji

  • Reset haseł dla kont narażonych na exfil (przeglądarki, VPN, poczta, komunikatory).
  • Unieważnij cookies i sesje (SSO, IdP, poczta webowa).
  • Wymuś re-MFA dla użytkowników z nietypowymi logowaniami w ostatnich 60 dniach.

Przykład (Azure AD / Entra ID – wymuszenie re-logowania):

# Wymuś ponowną autoryzację (revoke sessions) dla wskazanych UPN:
Connect-MgGraph -Scopes "User.ReadWrite.All"
$users = @("user1@contoso.com","user2@contoso.com")
$users | ForEach-Object { Revoke-MgUserSignInSession -UserId $_ }

2) Hunting & detekcja dla łańcucha ClickFix/mshta

Sigma (Windows, PROC_CREATE + net):

title: Rhadamanthys ClickFix via mshta + URL + auth code
id: 7a1d1f6b-9d9a-4f32-9e3c-rc-rhada-clickfix
status: experimental
logsource:
  product: windows
  category: process_creation
detection:
  sel:
    Image|endswith: '\mshta.exe'
    CommandLine|contains|all:
      - 'http'
      - '://'
      - 'code='
  condition: sel
level: high
tags:
  - attack.t1204
  - attack.t1059

(Inspiracja wzorcami ClickFix dla Rhadamanthys w 2025 r.)

Elastic (cookies exfil / nietypowe POST po infekcji):

event.dataset == "zeek.http" and http.method == "POST" and
  url.full : "*/*" and
  (
    user_agent.original : "*WinHTTP*" or
    http.request.body.content : "*password*" or
    http.request.body.content : "*cookies*"
  ) and
  destination.ip != "internal ranges"

3) Artefakty endpointowe / EDR

  • Nietypowe wywołania mshta.exe, rundll32.exe z parametrami URL, powershell.exe -enc (TA547).
  • Pliki w katalogach tymczasowych o wysokiej entropii + autostarty (Run Keys, Scheduled Tasks).
  • Przeglądarki: gwałtowny spadek liczby cookies lub odczyty baz SQLite (Login Data, Cookies) bez interakcji użytkownika.

Polowanie (Sysmon → Splunk):

index=sysmon sourcetype=XmlWinEventLog:Microsoft-Windows-Sysmon/Operational
(Image="*\\mshta.exe" OR Image="*\\rundll32.exe" OR Image="*\\powershell.exe")
| stats count min(_time) max(_time) by Computer, User, Image, CommandLine, ParentImage
| where like(CommandLine, "%http%") OR like(CommandLine, "%-enc%")

4) Twardnienie przeglądarek i hostów

  • Włącz/egzekwuj: izolację witryn, Encrypted Client Hello, partitioned cookies (Chrome/Edge), HSTS policy w aplikacjach własnych.
  • EDR policy: blokada uruchamiania mshta.exe dla zwykłych użytkowników; AppLocker/WDAC.
  • E-mail: DANE/SPF/DMARC w trybie reject, sandbox linków.

5) Sieć i proxy

  • Blokuj świeże TLD/NGTLD w dziennikach z kampanii Rhadamanthys; włącz TLS SNI/JA3 fingerprinting dla C2.
  • Egress allow-list dla serwerów z wysokim poziomem zaufania (CI/CD, jump hosts).

6) Działania wobec potencjalnie przejętych danych

  • Rotuj klucze API, tokeny PAT (GitHub/GitLab/Azure DevOps).
  • Powiadom użytkowników o potencjalnym przejęciu danych autoryzacyjnych i wymuś zmianę haseł niezarządzanych (re-use).
  • Threat intel: subskrybuj feedy logów wykradzionych (np. Have I Been Pwned partnerstwa Endgame).

Różnice / porównania z innymi przypadkami

  • Lumma, RedLine, Raccoon — wcześniejsze „takedowny” często dotyczyły konkretnych aktorów lub serwerów transakcyjnych; operatorzy wracali z rebrandem.
  • Endgame-style: skoordynowane, szerokie uderzenia w infrastrukturę i „usługi ekosystemowe” (np. AV-check), co czasowo ogranicza zdolność całego rynku MaaS do działania. Rhadamanthys — jeśli powiązany — wpisuje się w ten wzorzec.

Podsumowanie / kluczowe wnioski

  1. Zakłócenie paneli Rhadamanthys to realne okno dla obrońców: resetuj, unieważniaj, rotuj. 2) Nie licz na trwałość „takedownu” — planuj re-spawn i zmiany brandu. 3) Uderz w łańcuch ClickFix/mshta i monitoruj artefakty v0.9.x (aktualizacja reguł!). 4) Śledź oficjalne komunikaty LEA/Endgame — możliwe, że to element większej operacji.

Źródła / bibliografia

  • BleepingComputer — „Rhadamanthys infostealer disrupted as cybercriminals lose server access”, 11.11.2025. (opis incydentu, relacje „abonentów”, offline onion) (BleepingComputer)
  • Operation Endgame — strona operacji, partnerzy, komunikaty i statystyki dot. wcześniejszych uderzeń (maj 2025 i inne). (operation-endgame.com)
  • Check Point Research — „Rhadamanthys 0.9.x — walk through the updates”, 01.10.2025 (zmiany techniczne v0.9.2). (Check Point Research)
  • Recorded Future Insikt Group — „Rhadamanthys Stealer Adds Innovative AI Feature”, 26.09.2024 (OCR i nowości v0.7.0). (go.recordedfuture.com)
  • Proofpoint — „TA547 targets German organizations with Rhadamanthys”, 10.04.2024 (kampania e-mail, kontekst DE). (Proofpoint)