Infrastructuur achter malwarefamilie Rhadamanthys uit de lucht gehaald
De infrastructuur achter de malwarefamilie Rhadamanthys is ontmanteld tijdens een gezamenlijke actie van politie en internationale wetshandhavingsinstanties. Naast de servers die de malware beheerden, werden ook systemen van partners die de software gebruikten, uitgeschakeld. De actie maakt deel uit van Operation Endgame, een samenwerking tussen overheden en private partijen. Ook aanvullende diensten, zoals Elysium Proxy Bot, raakten getroffen door de operatie.
Op de hoofdwebsite van de operatie plaatsten de autoriteiten een video waarin wordt gesuggereerd dat de ontwikkelaars van Rhadamanthys niet alleen informatie van slachtoffers stal, maar ook gevoelige gegevens van medeplichtigen buitmaakten. Naast de technische impact kan de operatie volgens deskundigen ook het vertrouwen tussen criminelen ondermijnen.
Ontwikkeling en verspreiding
Rhadamanthys verscheen voor het eerst in 2022 als een geavanceerde infostealer, gericht op het stelen van inloggegevens, financiële data en systeeminformatie. De malware groeide snel in populariteit op darkwebfora door de aanpasbaarheid en het gemak waarmee criminelen ermee konden werken. In de loop der tijd voegden de ontwikkelaars functies toe om detectie te ontwijken, zoals verduisteringstechnieken en anti-analyse. Ook introduceerden ze multi-stage payloads, waarmee de malware in meerdere fasen kon binnendringen, en een modulair systeem voor maatwerk per aanval.
De toegang tot Rhadamanthys werd verkocht voor 300 tot 500 dollar per maand, met opties voor duurdere, aangepaste versies. Opvallend is dat sommige criminelenfora de verkoop verboden, omdat de malware ook werd ingezet tegen doelen in Rusland en landen van het Gemenebest van Onafhankelijke Staten.
Resultaten van Operation Endgame
Operation Endgame is een langlopend initiatief dat zich richt op het verstoren van malware- en botnetinfrastructuur. Tijdens eerdere acties in mei 2024 en mei 2025 werden onder andere IcedID, Bumblebee, Trickbot en Lumma Stealer aangepakt. Volgens Europol is dit de grootste operatie ooit tegen botnets die ransomware verspreiden.
De impact op e-maildreigingen is significant. Waar in maart 2023 nog 17% van de malwarecampagnes via e-mail verband hield met doelwitten van Operation Endgame, was dit in september 2025 gedaald naar 1%. Deskundigen benadrukken dat dergelijke operaties het gedrag van criminelen blijven beïnvloeden, bijvoorbeeld door verschuivingen naar remote monitoring software, infostealers en nieuwe social engineering-technieken.
Proofpoint adviseert organisaties alert te blijven op deze ontwikkelingen en verdedigingsstrategieën tijdig aan te passen.
Meer over Proofpoint
Over Wouter Hoeffnagel
