Von Europol koordinierte Behörden haben in Zusammenarbeit mit Partneragenturen in mehreren Ländern eine bedeutende cyberkriminelle Infrastruktur in der jüngsten Phase der Operation Endgame zerstört. Die Aktion fand zwischen dem 10. und 13. November 2025 statt und zielte auf drei prominente Malware-Dienste ab: den Infostealer Rhadamanthys, den Remote-Access-Trojaner VenomRAT und das Botnet-Ökosystem Elysium.
Beamte sagten, dass während der Operation mehr als 1.025 Server abgeschaltet oder gestört und 20 Domains beschlagnahmt wurden. Die Infrastruktur war für die Infektion von Hunderttausenden von Geräten und das Sammeln von mehreren Millionen gestohlenen Anmeldeinformationen verantwortlich. Berichten zufolge wussten viele Opfer nicht, dass ihre Systeme kompromittiert waren.
Zu den wichtigsten Entwicklungen gehörte die Verhaftung eines Verdächtigen am 3. November in Griechenland, von dem angenommen wird, dass er mit dem Trojaner VenomRAT in Verbindung steht. Die Behörden sagten, dass diese Person in einem internationalen Rahmen operierte, der anderen cyberkriminellen Akteuren Fernzugriffstools zur Verfügung stellte. Rhadamanthys, das sich Ende 2022 zu einem Malware-as-a-Service-Angebot entwickelte, wurde über Untergrundforen zu monatlichen Abonnementpreisen zwischen 300 und 500 US-Dollar vermarktet. Das Toolkit des Infostealers wurde um Funktionen wie die Extraktion von Kryptowährungs-Wallet-Schlüsseln und den Diebstahl von Browser-Cookies erweitert, was es zu einem wichtigen Wegbereiter für weitere Eindringlinge macht.
Europol stellte fest, dass der Betreiber des Infostealers Zugang zu mehr als 100.000 Kryptowährungs-Wallets im Wert von Millionen von Euro hatte. Elysium seinerseits stellte eine Botnet-Infrastruktur bereit, die die groß angelegte Verbreitung bösartiger Nutzlasten, anonymisierten Proxy-Verkehr und Fernsteuerungsnetzwerke ermöglichte, die sowohl die IT-Systeme von Unternehmen als auch in einigen Fällen betriebliche Technologieumgebungen gefährdeten.
Die Beteiligung der Strafverfolgungsbehörden war weltweit breit gefächert und erstreckte sich über Australien, Belgien, Kanada, Dänemark, Frankreich, Deutschland, Griechenland, Litauen, die Niederlande, das Vereinigte Königreich und die Vereinigten Staaten. Partner aus dem Privatsektor steuerten ebenfalls technische Informationen und forensische Daten bei. Einige Unternehmen berichteten, dass die Backend-Panels von Rhadamanthys offline gingen und mehrere Affiliate-Benutzer von Malware-Kontrollsystemen ausgeschlossen wurden, was darauf hindeutet, dass die Störung das Geschäftsmodell hinter dem Stealer direkt betraf. Es wird erwartet, dass die Abschaltung wichtiger Infrastrukturen den Zugang für Partner, die die Malware-Dienste mieten, verringern und das Volumen der kompromittierten Systeme vorübergehend verringern wird.
Konkrete Auswirkungen und nächste Schritte für Organisationen
Die Operation erzielte greifbare Ergebnisse, die über die Beschlagnahmung von Servern und die Verhaftung von Verdächtigen hinausgingen. Quellen der Strafverfolgungsbehörden teilten mit, dass die Infrastruktur mit Infektionskampagnen in mehr als 226 Ländern und Gebieten in Verbindung stand, wobei Shadowserver zwischen März und November 2025 525.303 einzigartige Rhadamanthys-Stealer-Infektionen und mehr als 86 Millionen damit verbundene “Informationsdiebstahl”-Ereignisse meldete.
Berichte zeigen, dass zu den kompromittierten Daten Sitzungstoken, Anmeldedaten, im Browser gespeicherte Passwörter und Kryptowährungs-Wallet-Schlüssel gehörten. Mehrere Datenbanken mit betroffenen E-Mail-Adressen und Passwörtern wurden auf Plattformen wie HaveIBeenPwned veröffentlicht, die es Einzelpersonen und Organisationen ermöglichen, nach einer möglichen Gefährdung zu suchen.
Für Unternehmen ist die Deaktivierung eine Gelegenheit, zu überprüfen, ob ihre Netzwerke oder Kunden mit einer der gestörten Malware-Familien infiziert wurden. Während eine Betriebsunterbrechung der Infrastruktur das unmittelbare Risiko verringert, können cyberkriminelle Gruppen schnell wieder aufbauen oder auf neue Plattformen migrieren. Analysten betonen, dass Verteidiger wachsam bleiben und die Erkennung von Verhaltensweisen von Bedrohungsakteuren verbessern müssen, wie z. B. abnormale ausgehende Verbindungen, plötzliche Zunahme von Fernzugriffsaktivitäten oder unerwartete Verwendung von Command-and-Control-Domänen.
Der Fokus auf Erstzugriffstools wie Infostealer und Botnets spiegelt einen Wandel in der Malware-Wirtschaft wider. Anstatt nur auf die endgültigen Ransomware-Payloads abzuzielen, beginnen viele Angriffe mit dem Diebstahl von Anmeldeinformationen und der Infiltration von Endpunkten, gefolgt von einer lateralen Bewegung zu höherwertigen Zielen. Durch die Unterbrechung der Lieferkette dieser Tools versuchte Operation Endgame, das gesamte Ökosystem zu schwächen, anstatt einzelne Betreiber zu Fall zu bringen. Die Behörden warnen jedoch, dass dies nicht das Ende der Bedrohung ist. Die in dieser Phase abgebaute Infrastruktur kann neu gestaltet oder durch neue Varianten ersetzt werden.
Unternehmen wird empfohlen, in ihren Umgebungen nach Indikatoren für die betroffenen Malware-Familien zu suchen. Dazu gehört die Suche nach älteren RAS-Tools, ungewöhnlichem verschlüsseltem ausgehendem Datenverkehr oder unbekannten Prozessen mit Berechtigungen auf Systemebene. Die Sicherstellung, dass Backups isoliert sind, die Einschränkung des administrativen Zugriffs und die Anwendung der Multi-Faktor-Authentifizierung sind grundlegende, aber wesentliche Sicherheitsvorkehrungen. Die Disruption unterstreicht auch die Bedeutung der sektorübergreifenden Zusammenarbeit, des rechtzeitigen Austauschs von Informationen und der Koordination zwischen öffentlichen und privaten Einrichtungen.
Die Operation Endgame könnte einer der bisher größten koordinierten Angriffe gegen Malware-as-a-Service-Plattformen sein. Durch die Abschaltung der Infrastruktur, die Rhadamanthys, VenomRAT und Elysium unterstützt, haben die Strafverfolgungsbehörden das Fundament mehrerer cyberkrimineller Netzwerke angeschlagen. Die Auswirkungen werden wahrscheinlich im Laufe der Zeit gemessen werden, wenn kriminelle Betreiber wieder aufbauen und die Verteidiger die Sanierung kompromittierter Vermögenswerte bewerten. Für die Millionen von Opfern, die möglicherweise betroffen sind, könnte die Operation eine gewisse Erleichterung bieten, obwohl der umfassendere Kampf gegen Standard-Malware noch lange nicht abgeschlossen ist.