导语:“Operation Endgame”此前已多次开展打击,曾查封100余台被各类恶意软件用于运营的服务器,涉及IcedID、Bumblebee、Pikabot、Trickbot及SystemBC等知名恶意软件家族。
在针对网络犯罪的国际行动“Operation Endgame”最新阶段中,来自九个国家的执法机构成功捣毁了1000余台服务器。这些服务器被用于Rhadamanthys信息窃取恶意软件、VenomRAT远程控制木马及Elysium僵尸网络的运营活动。
2025年11月10日至14日期间,警方在德国、希腊和荷兰的11处地点开展搜查行动,查封20个域名,并关停了1025台被上述恶意软件用于运营的服务器。
“Operation Endgame”此阶段还促成一项关键进展:2025年11月3日,希腊警方逮捕了一名与VenomRAT远程控制木马相关的核心嫌疑人。
欧洲刑警组织在发布的新闻稿中表示:“此次捣毁的恶意软件基础设施,关联着数十万台受感染计算机,其中包含数百万条被盗凭证。”
许多受害者并未察觉自己的系统已遭入侵。该信息窃取恶意软件的主谋,可访问这些受害者的超10万个加密货币钱包,其潜在价值高达数百万欧元。
欧洲刑警组织还建议公众通过“politie.nl/checkyourhack”和“haveibeenpwend.com”平台,查询自身计算机是否感染上述恶意软件。
Rhadamanthys 暗网网站显示查封通知
协助执法机构实施此次打击行动的Lumen公司“黑莲花实验室”(Black Lotus Labs)指出,Rhadamanthys恶意软件的运营活动自2023年起稳步扩张,2025年10月至11月期间增长态势尤为显著。
据Lumen监测,该恶意软件日均活跃服务器数量达300台,2025年10月峰值时更是达到535台。其中,美国、德国、英国和荷兰境内的服务器,占Rhadamanthys所有命令与控制(C2)服务器的60%以上。
值得注意的是,超60%的Rhadamanthys C2服务器未被VirusTotal平台检测到。这种隐蔽性推动了近期受害者数量激增——2025年10月,该恶意软件日均影响超4000个独立IP地址。
黑莲花实验室监测数据
Rhadamanthys信息窃取恶意软件的运营已遭瓦解,其“恶意软件即服务”模式的用户反馈称,已无法访问自身服务器。
Rhadamanthys的开发者也在Telegram消息中表示,他们认为德国执法机构是此次打击行动的主导方——原因是部署在欧盟数据中心的网页控制面板显示,在网络犯罪分子失去访问权限前,有德国IP地址进行过连接。
“Operation Endgame”此前已多次开展打击,曾查封100余台被各类恶意软件用于运营的服务器,涉及IcedID、Bumblebee、Pikabot、Trickbot及SystemBC等知名恶意软件家族。
该联合行动还针对勒索软件基础设施、AVCheck网站、Smokeloader僵尸网络的用户与服务器,以及DanaBot、IcedID、Pikabot、Trickbot、Smokeloader、Bumblebee、SystemBC等其他主要恶意软件运营活动采取了执法措施。
文章翻译自:https://www.bleepingcomputer.com/news/security/police-disrupts-rhadamanthys-venomrat-and-elysium-malware-operations/如若转载,请注明原文地址
