Policja rozbija infrastrukturę Rhadamanthys, VenomRAT i botnetu Elysium (Operation Endgame)

Wprowadzenie do problemu / definicja luki

W dniach 10–14 listopada 2025 r. międzynarodowe służby ścigania przeprowadziły kolejną fazę Operation Endgame, wymierzoną w trzy istotne elementy ekosystemu cyberprzestępczego: Rhadamanthys (info-stealer), VenomRAT (RAT) oraz Elysium (botnet/infrastruktura C2). W wyniku działań przejęto 20 domen, zakłócono lub wyłączono 1 025 serwerów C2, przeszukano 11 lokalizacji oraz aresztowano kluczowego podejrzanego w Grecji powiązanego z VenomRAT. Organy ścigania podkreślają skalę szkód: setki tysięcy zainfekowanych komputerów i kilka milionów skradzionych poświadczeń, w tym dostęp do >100 000 portfeli kryptowalutowych ofiar.

W skrócie

• Co się wydarzyło: skoordynowany takedown infrastruktury trzech rodzin malware (C2/domeny/serwery, przeszukania, areszt).
• Kluczowe liczby: 1 025 serwerów, 20 domen, 11 przeszukań; jedna osoba zatrzymana (Grecja, 3 listopada 2025 r.).
• Kogo to dotyczy: ofiary info-stealera Rhadamanthys, zdalnych przejęć przez VenomRAT i urządzeń wpiętych do botnetu Elysium; przedsiębiorstwa z USA/DE/UK/NL miały największą koncentrację C2 dla Rhadamanthys wg Black Lotus Labs.
• Dlaczego to ważne: ogranicza zdolność przestępców do monetyzacji danych uwierzytelniających i utrudnia kampanie ransomware (Endgame celuje w łańcuch dostaw cyberprzestępczości).

Kontekst / historia / powiązania

Operation Endgame to seria skoordynowanych akcji (2024–2025) ukierunkowanych na loader’y, botnety i zaplecze C2 dla gangów ransomware. Wcześniejsze etapy obejmowały m.in. zakłócenie IcedID, Bumblebee, Pikabot, TrickBot, SystemBC i innych, a łączne przejęcia środków sięgają dziesiątek milionów euro. Najnowsza tura („Endgame 3.0”) rozszerza presję na stealery i RAT-y, czyli narzędzia do inicjalnego dostępu i kradzieży tożsamości.

Analiza techniczna / szczegóły luki

Rhadamanthys (info-stealer, MaaS)

• Funkcje: kradzież haseł/cookies/tokenów, danych przeglądarek i portfeli krypto; panele webowe (MaaS) oraz rozległa sieć C2.
• Skala: wg Lumen Black Lotus Labs średnio ~300 aktywnych serwerów C2 dziennie (szczyt 535 w X.2025); >60% C2 było niewidocznych w VirusTotal, co tłumaczyło dużą liczbę ofiar. W październiku 2025 r. wykrywano średnio >4 000 unikalnych IP ofiar dziennie.
• Obserwacje powiązane z takedownem: utrata dostępu do paneli przez klientów MaaS; baner przejęcia na serwisach Rhadamanthys.

VenomRAT (Remote Access Trojan)

• Funkcje: keylogging, zdalne sterowanie, kradzież kluczy API i danych portfeli, możliwość nadużywania kamery/mikrofonu; sprzedawany w modelu subskrypcyjnym.
• Egzekucja prawa: areszt głównego podejrzanego w Atenach 3 listopada 2025 r. – z zabezpieczeniem kodu źródłowego, materiałów promocyjnych i portfeli krypto; śledztwo prowadzone m.in. przez Francję i USA.

Elysium (botnet/infrastruktura)

• Rola: infrastruktura pośrednicząca w C2 i dystrybucji ładunków, ułatwiająca pivoting i ukrywanie prawdziwych paneli.
• Efekt operacji: odcięcie węzłów C2 i domen wykorzystywanych do zarządzania zainfekowanymi hostami.

Skala szkód i dowody

• Setki tysięcy zainfekowanych urządzeń, miliony poświadczeń; dostęp do >100 000 portfeli krypto ofiar (jeszcze nieopróżnionych). Dane o ofiarach trafiają do serwisów powiadamiających (NL CheckYourHack / Have I Been Pwned).

Praktyczne konsekwencje / ryzyko

• Krótko- i średnioterminowe: spadek skuteczności bieżących kampanii opartych na tych narzędziach; utrudniona odsprzedaż świeżych dumpów credentiali; chwilowa redukcja spam/runów loaderów.
• Długoterminowe: rekonfiguracja ekosystemu – migracja aktorów do innych MaaS/RAT, odtwarzanie C2 w nowych AS/hostingach, rebranding malware. Historia pokazuje, że po takedownach następuje odbudowa w 2–8 tygodni, ale z kosztami dla przestępców (skasowane panele, utrata bazy klientów, utrata reputacji). (Wniosek na podstawie trendów opisanych w raportach Endgame z 2024–2025).
• Ryzyko wtórne: dane ofiar pozostają w obiegu (combo-listy, logi), więc account takeover i fraudy są nadal możliwe – konieczne są rotacje haseł i monitorowanie sesji.

Rekomendacje operacyjne / co zrobić teraz

1) Weryfikacja ekspozycji i kont ofiar

• Sprawdź, czy adresy e-mail/urządzenia użytkowników figurowały w dumpach Endgame:
  • NL CheckYourHack (zestaw „November 2025 – Endgame (Rhadamanthys)”).
  • Have I Been Pwned (jeśli partnerstwo obejmuje dane z tej fazy).

2) Hunting sieciowy – artefakty C2/infostealer

Poniżej przykładowe, bezpieczne zapytania do SIEM (dostosuj do swojego telemetry):

Sigma (proxy/DNS) – podejrzane panele Rhadamanthys/Elysium

title: Suspicious Panel Access Potentially Related to Info-Stealer C2
logsource: { category: proxy }
detection:
  selection:
    cs-method|endswith: '/gate'  # często używane ścieżki paneli
    cs-host|re: '(?i)(admin|panel|login)[\.-].*'
  condition: selection
falsepositives: high
level: medium

Zeek – anomalia JA3/JA3S (RAT/Stealer)

# przykładowe pivoty na niestandardowe zestawy szyfrów
cat ssl.log | zeek-cut id.resp_p ja3 | awk '{count[$2]++} END {for (j in count) if (count[j]>50) print j, count[j]}' | sort -nr

Suricata – heurystyka POST do świeżo zarejestrowanych domen

alert http any any -> $EXTERNAL_NET any (msg:"Heuristic exfil via recent domain"; http.method; content:"POST"; nocase; pcre:"/Host:\s([a-z0-9-]+\.)+[a-z]{2,}$/Hi"; threshold: type both, track by_dst, count 50, seconds 60; classtype:policy; sid:4000011; rev:1;)

3) Endpoint & przeglądarki – detekcja i czyszczenie

• Windows (PowerShell): sprawdź typowe lokalizacje persistencji (Run Keys, Startup, Scheduled Tasks) oraz nietypowe rozszerzenia w %AppData%:

# Autoruns - klucze Run
Get-ItemProperty 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run','HKLM:\...\Run' | Format-List
# Zaplanowane zadania z nieznanych ścieżek
Get-ScheduledTask | ? {$_.TaskPath -notmatch '\\Microsoft\\'} | Select TaskName, TaskPath
# Nietypowe pliki w AppData
Get-ChildItem "$env:APPDATA" -Recurse -ErrorAction SilentlyContinue | ? {$_.Extension -in ".tmp",".dat",".log",".scr",".cmd",".vbs",".js"}

• Przeglądarki: wymuś unieważnienie tokenów (SSO/OAuth), wylogowanie sesji i rotację haseł menedżerów przeglądarek.

4) IAM & konta uprzywilejowane

• Reset haseł (wymuś aktualizację po następnym logowaniu), MFA-reset dla użytkowników z podejrzaną telemetrią logowania.
• Blokuj logowanie „impossible travel”, włącz step-up MFA przy ryzyku średnim/wysokim (Conditional Access).

5) Hardening i prewencja

• Attachment Sandboxing i link rewriting w secure email gateway (stealery często startują od phishu).
• AppLocker/WDAC – blokowanie uruchomień z %AppData%, %Temp%, %ProgramData%.
• EDR: reguły na mass credential access (LSASS handle open, DPAPI blob access, enumeracja profili przeglądarek).

6) Komunikacja z użytkownikami

• Wyślij jasny komunikat do pracowników: możliwa ekspozycja haseł i cookies; opisz proces rotacji i weryfikacji urządzeń.

Różnice / porównania z innymi przypadkami

• Qakbot (2023) i TrickBot/Emotet (wcześniej) – silny efekt chwilowy, ale nastąpiła reassembly innej infrastruktury. Endgame od 2024 r. uderza systemowo w łańcuch dostaw (loadery, serwery, panele, domeny) zamiast pojedynczej rodziny – to zwiększa koszt odbudowy.
• W bieżącej turze nowością jest połączenie takedownu z publiczną weryfikacją ofiar (CheckYourHack/HIBP) i aresztem developera RAT, co utrudnia utrzymanie produktu MaaS.

Podsumowanie / kluczowe wnioski

• Endgame 3.0 to znaczący cios w kradzież tożsamości i zdalne przejęcia (Rhadamanthys/VenomRAT) oraz w zaplecze C2 (Elysium).
• Efekty dla obrońców są realne, ale tymczasowe, jeśli nie nastąpi rotacja poświadczeń, unieważnienie sesji i wzmacnianie kontroli dostępu.
• Wykorzystaj okno czasowe po takedownie, by wyczyścić środowisko i podnieść próg wejścia dla kolejnych kampanii.

Źródła / bibliografia

1. BleepingComputer – przegląd akcji (1 025 serwerów, 20 domen, areszt 3 XI 2025) i kontekst Rhadamanthys. (BleepingComputer)
2. Europol – oficjalny komunikat: „End of the game for cybercrime infrastructure” (liczby, zakres, areszt). (Europol)
3. Eurojust – szczegóły prawne/operacyjne, liczby i informacja o portfelach krypto. (Eurojust)
4. SecurityWeek – podsumowanie „Operation Endgame 3.0”, tło przeszukań i techniczne skutki. (SecurityWeek)
5. Reuters – informacja o areszcie w Grecji i szerszym kontekście Endgame (maj 2025 oraz nowa tura). (Reuters)