Infrastruktur des Infostealers Rhadamanthys, sowie VenomRAT und Elysium zerschlagen

Veröffentlicht am 13. November 2025 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Strafverfolger unter Führung von Europol, sowie Beteiligung des Bundeskriminalamts haben im Rahmen der Operation Endgame einerseits die Infrastruktur des Infostealers Rhadamanthys und andererseits des Trojaners VenomRAT wie des Botnetzes Elysium zerschlagen bzw. Server und Geräte beschlagnahmt.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)

Es gab wohl bereits die Tage Spekulationen, dass irgend etwas im Busch sei. Nun ist die Information offiziell: Das Bundeskriminalamt (BKA) hat gemeinsam mit internationalen Partnern die Infrastruktur des Infostealers Rhadamanthys zerschlagen. Damit trifft es eine der derzeit aktivsten Malware-as-a-Service-Plattformen. Weiterhin wurden die Infrastrukturen von VenomRAT und Elysium zerschlagen.

Europol und Strafverfolger schlagen zu

Europol hat in dieser Pressemitteilung einige Details zur Operation Endgame veröffentlicht. Die Operationen fanden zwischen dem 10. und 13. November 2025 statt. In der jüngsten Phase der Operation Endgame wurden die Maßnahmen vom Europol-Hauptquartier in Den Haag aus koordiniert.

Die Maßnahmen der internationalen Strafverfolger richteten sich gegen einen der größten Infostealer, Rhadamanthys, den Fernzugriffstrojaner VenomRAT und das Botnetz Elysium. Alle genannten Namen spielten eine Schlüsselrolle in der internationalen Cyberkriminalität und wurden von den Strafverfolgungsbehörden ausgeschaltet. Der Hauptverdächtige für VenomRAT wurde ebenfalls am 3. November 2025 in Griechenland festgenommen. Die koordinierten Maßnahmen führten zu:

  • 1 Festnahme in Griechenland
  • 11 Durchsuchungen (1 in Deutschland, 1 in Griechenland und 9 in den Niederlanden)
  • Über 1.025 weltweit abgeschalteten oder gestörten Servern
  • 20 beschlagnahmten Domains

Die zerschlagene Malware-Infrastruktur bestand aus Hunderttausenden infizierten Computern, und war für die Infizierung von Hunderttausenden Opfern weltweit mit Malware verantwortlich. Auf den Rechnern waren mehrere Millionen gestohlene Zugangsdaten gespeichert. Viele der Opfer waren sich der Infektion ihrer Systeme nicht bewusst.

Es gab laut Europol auch Maßnahmen, die sich gegen kriminelle Dienste und deren kriminelle Nutzer richteten. Diese Nutzer wurden direkt von der Polizei kontaktiert und gebeten, relevante Informationen über Infostealer über den Telegram-Kanal Operation Endgame weiterzugeben. Darüber hinaus werden die gescheiterten kriminellen Dienste über die Website Operation Endgame veröffentlicht.

Bin ich betroffen?

Der Hauptverdächtige hinter dem Infostealer hatte laut Europol Zugriff auf über 100 000 Krypto-Wallets der Opfer. Der Wert dieser Wallets beliefen sich möglicherweise auf Millionen Euro belief. Nutzer können unter politie.polity.nl/checkyourhack und haveibeenpwned.com durch Eingabe ihrer E-Mail-Adresse überprüfen, ob ihr Computer infiziert wurde und erhalten Hinweise, was man in diesem Fall tun kann.

Einschätzung von Trend Micro

Sicherheitsforscher von Trend Micro beobachten die Szene und schreiben, dass die Ermittlungsaktion in eine Phase massiver Umbrüche in der Cybercrime-Szene fällt.  Christopher Boyton, Senior Adversary Hunter bei Trend Micro, hat mir folgende Einschätzung zukommen lassen:

Jüngste Strafverfolgungsmaßnahmen gegen große Infostealer-Malware-Familien haben das Cybercrime-Ökosystem deutlich gestört. Die Abschaltung der Rhadamanthys-Infrastruktur durch deutsche Behörden, kombiniert mit internen Konflikten, die den Betrieb von Lumma Stealer beeinträchtigt haben, führt derzeit zu Marktverschiebungen zugunsten alternativer Malware-as-a-Service-Plattformen wie Vidar. Cybersecurity-Forscher beobachten diese Entwicklungen genau, da sich Bedrohungsakteure neuen Tools zuwenden – mit potenziellen Auswirkungen auf die Sicherheitsstrategien von Unternehmen im Jahr 2025.

Was ist Operation Endgame?

Die von Europol und Eurojust koordinierte Operation Endgame ist eine gemeinsame Initiative der Strafverfolgungs- und Justizbehörden Australiens, Belgiens, Kanadas, Dänemarks, Frankreichs, Deutschlands, Griechenlands, Litauens, der Niederlande, des Vereinigten Königreichs und der Vereinigten Staaten zur Bekämpfung von Ransomware-Anbietern.

Mehr als 30 nationale und internationale öffentliche und private Akteure unterstützen die Maßnahmen. Wichtige Beiträge leisteten die folgenden privaten Partner: Cryptolaemus, Shadowserver und RoLR, Spycloud, Cymru, Proofpoint, Crowdstrike, Lumen, Abuse.ch, HaveIBeenPwned, Spamhaus, DIVD, Trellix und Bitdefender.

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.