Wprowadzenie do problemu / definicja luki
W dniach 10–14 listopada 2025 r. międzynarodowe służby ścigania przeprowadziły kolejną fazę Operation Endgame, wymierzoną w trzy istotne elementy ekosystemu cyberprzestępczego: Rhadamanthys (info-stealer), VenomRAT (RAT) oraz Elysium (botnet/infrastruktura C2). W wyniku działań przejęto 20 domen, zakłócono lub wyłączono 1 025 serwerów C2, przeszukano 11 lokalizacji oraz aresztowano kluczowego podejrzanego w Grecji powiązanego z VenomRAT. Organy ścigania podkreślają skalę szkód: setki tysięcy zainfekowanych komputerów i kilka milionów skradzionych poświadczeń, w tym dostęp do >100 000 portfeli kryptowalutowych ofiar.
W skrócie
- Co się wydarzyło: skoordynowany takedown infrastruktury trzech rodzin malware (C2/domeny/serwery, przeszukania, areszt).
- Kluczowe liczby: 1 025 serwerów, 20 domen, 11 przeszukań; jedna osoba zatrzymana (Grecja, 3 listopada 2025 r.).
- Kogo to dotyczy: ofiary info-stealera Rhadamanthys, zdalnych przejęć przez VenomRAT i urządzeń wpiętych do botnetu Elysium; przedsiębiorstwa z USA/DE/UK/NL miały największą koncentrację C2 dla Rhadamanthys wg Black Lotus Labs.
- Dlaczego to ważne: ogranicza zdolność przestępców do monetyzacji danych uwierzytelniających i utrudnia kampanie ransomware (Endgame celuje w łańcuch dostaw cyberprzestępczości).
Kontekst / historia / powiązania
Operation Endgame to seria skoordynowanych akcji (2024–2025) ukierunkowanych na loader’y, botnety i zaplecze C2 dla gangów ransomware. Wcześniejsze etapy obejmowały m.in. zakłócenie IcedID, Bumblebee, Pikabot, TrickBot, SystemBC i innych, a łączne przejęcia środków sięgają dziesiątek milionów euro. Najnowsza tura („Endgame 3.0”) rozszerza presję na stealery i RAT-y, czyli narzędzia do inicjalnego dostępu i kradzieży tożsamości.
Analiza techniczna / szczegóły luki
Rhadamanthys (info-stealer, MaaS)
- Funkcje: kradzież haseł/cookies/tokenów, danych przeglądarek i portfeli krypto; panele webowe (MaaS) oraz rozległa sieć C2.
- Skala: wg Lumen Black Lotus Labs średnio ~300 aktywnych serwerów C2 dziennie (szczyt 535 w X.2025); >60% C2 było niewidocznych w VirusTotal, co tłumaczyło dużą liczbę ofiar. W październiku 2025 r. wykrywano średnio >4 000 unikalnych IP ofiar dziennie.
- Obserwacje powiązane z takedownem: utrata dostępu do paneli przez klientów MaaS; baner przejęcia na serwisach Rhadamanthys.
VenomRAT (Remote Access Trojan)
- Funkcje: keylogging, zdalne sterowanie, kradzież kluczy API i danych portfeli, możliwość nadużywania kamery/mikrofonu; sprzedawany w modelu subskrypcyjnym.
- Egzekucja prawa: areszt głównego podejrzanego w Atenach 3 listopada 2025 r. – z zabezpieczeniem kodu źródłowego, materiałów promocyjnych i portfeli krypto; śledztwo prowadzone m.in. przez Francję i USA.
Elysium (botnet/infrastruktura)
- Rola: infrastruktura pośrednicząca w C2 i dystrybucji ładunków, ułatwiająca pivoting i ukrywanie prawdziwych paneli.
- Efekt operacji: odcięcie węzłów C2 i domen wykorzystywanych do zarządzania zainfekowanymi hostami.
Skala szkód i dowody
- Setki tysięcy zainfekowanych urządzeń, miliony poświadczeń; dostęp do >100 000 portfeli krypto ofiar (jeszcze nieopróżnionych). Dane o ofiarach trafiają do serwisów powiadamiających (NL CheckYourHack / Have I Been Pwned).
Praktyczne konsekwencje / ryzyko
- Krótko- i średnioterminowe: spadek skuteczności bieżących kampanii opartych na tych narzędziach; utrudniona odsprzedaż świeżych dumpów credentiali; chwilowa redukcja spam/runów loaderów.
- Długoterminowe: rekonfiguracja ekosystemu – migracja aktorów do innych MaaS/RAT, odtwarzanie C2 w nowych AS/hostingach, rebranding malware. Historia pokazuje, że po takedownach następuje odbudowa w 2–8 tygodni, ale z kosztami dla przestępców (skasowane panele, utrata bazy klientów, utrata reputacji). (Wniosek na podstawie trendów opisanych w raportach Endgame z 2024–2025).
- Ryzyko wtórne: dane ofiar pozostają w obiegu (combo-listy, logi), więc account takeover i fraudy są nadal możliwe – konieczne są rotacje haseł i monitorowanie sesji.
Rekomendacje operacyjne / co zrobić teraz
1) Weryfikacja ekspozycji i kont ofiar
- Sprawdź, czy adresy e-mail/urządzenia użytkowników figurowały w dumpach Endgame:
- NL CheckYourHack (zestaw „November 2025 – Endgame (Rhadamanthys)”).
- Have I Been Pwned (jeśli partnerstwo obejmuje dane z tej fazy).
2) Hunting sieciowy – artefakty C2/infostealer
Poniżej przykładowe, bezpieczne zapytania do SIEM (dostosuj do swojego telemetry):
Sigma (proxy/DNS) – podejrzane panele Rhadamanthys/Elysium
title: Suspicious Panel Access Potentially Related to Info-Stealer C2
logsource: { category: proxy }
detection:
selection:
cs-method|endswith: '/gate' # często używane ścieżki paneli
cs-host|re: '(?i)(admin|panel|login)[\.-].*'
condition: selection
falsepositives: high
level: mediumZeek – anomalia JA3/JA3S (RAT/Stealer)
# przykładowe pivoty na niestandardowe zestawy szyfrów
cat ssl.log | zeek-cut id.resp_p ja3 | awk '{count[$2]++} END {for (j in count) if (count[j]>50) print j, count[j]}' | sort -nrSuricata – heurystyka POST do świeżo zarejestrowanych domen
alert http any any -> $EXTERNAL_NET any (msg:"Heuristic exfil via recent domain"; http.method; content:"POST"; nocase; pcre:"/Host:\s([a-z0-9-]+\.)+[a-z]{2,}$/Hi"; threshold: type both, track by_dst, count 50, seconds 60; classtype:policy; sid:4000011; rev:1;)3) Endpoint & przeglądarki – detekcja i czyszczenie
- Windows (PowerShell): sprawdź typowe lokalizacje persistencji (Run Keys, Startup, Scheduled Tasks) oraz nietypowe rozszerzenia w
%AppData%:
# Autoruns - klucze Run
Get-ItemProperty 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run','HKLM:\...\Run' | Format-List
# Zaplanowane zadania z nieznanych ścieżek
Get-ScheduledTask | ? {$_.TaskPath -notmatch '\\Microsoft\\'} | Select TaskName, TaskPath
# Nietypowe pliki w AppData
Get-ChildItem "$env:APPDATA" -Recurse -ErrorAction SilentlyContinue | ? {$_.Extension -in ".tmp",".dat",".log",".scr",".cmd",".vbs",".js"}- Przeglądarki: wymuś unieważnienie tokenów (SSO/OAuth), wylogowanie sesji i rotację haseł menedżerów przeglądarek.
4) IAM & konta uprzywilejowane
- Reset haseł (wymuś aktualizację po następnym logowaniu), MFA-reset dla użytkowników z podejrzaną telemetrią logowania.
- Blokuj logowanie „impossible travel”, włącz step-up MFA przy ryzyku średnim/wysokim (Conditional Access).
5) Hardening i prewencja
- Attachment Sandboxing i link rewriting w secure email gateway (stealery często startują od phishu).
- AppLocker/WDAC – blokowanie uruchomień z
%AppData%,%Temp%,%ProgramData%. - EDR: reguły na mass credential access (LSASS handle open, DPAPI blob access, enumeracja profili przeglądarek).
6) Komunikacja z użytkownikami
- Wyślij jasny komunikat do pracowników: możliwa ekspozycja haseł i cookies; opisz proces rotacji i weryfikacji urządzeń.
Różnice / porównania z innymi przypadkami
- Qakbot (2023) i TrickBot/Emotet (wcześniej) – silny efekt chwilowy, ale nastąpiła reassembly innej infrastruktury. Endgame od 2024 r. uderza systemowo w łańcuch dostaw (loadery, serwery, panele, domeny) zamiast pojedynczej rodziny – to zwiększa koszt odbudowy.
- W bieżącej turze nowością jest połączenie takedownu z publiczną weryfikacją ofiar (CheckYourHack/HIBP) i aresztem developera RAT, co utrudnia utrzymanie produktu MaaS.
Podsumowanie / kluczowe wnioski
- Endgame 3.0 to znaczący cios w kradzież tożsamości i zdalne przejęcia (Rhadamanthys/VenomRAT) oraz w zaplecze C2 (Elysium).
- Efekty dla obrońców są realne, ale tymczasowe, jeśli nie nastąpi rotacja poświadczeń, unieważnienie sesji i wzmacnianie kontroli dostępu.
- Wykorzystaj okno czasowe po takedownie, by wyczyścić środowisko i podnieść próg wejścia dla kolejnych kampanii.
Źródła / bibliografia
- BleepingComputer – przegląd akcji (1 025 serwerów, 20 domen, areszt 3 XI 2025) i kontekst Rhadamanthys. (BleepingComputer)
- Europol – oficjalny komunikat: „End of the game for cybercrime infrastructure” (liczby, zakres, areszt). (Europol)
- Eurojust – szczegóły prawne/operacyjne, liczby i informacja o portfelach krypto. (Eurojust)
- SecurityWeek – podsumowanie „Operation Endgame 3.0”, tło przeszukań i techniczne skutki. (SecurityWeek)
- Reuters – informacja o areszcie w Grecji i szerszym kontekście Endgame (maj 2025 oraz nowa tura). (Reuters)
