Autoriteiten gecoördineerd door Europol, in samenwerking met partneragentschappen in meerdere landen, hebben een aanzienlijke cybercriminele infrastructuur verstoord in wat werd beschreven als de laatste fase van Operation Endgame. De actie vond plaats tussen 10 en 13 november 2025 en was gericht op drie prominente malwareservices: de infostealer Rhadamanthys, de trojan voor externe toegang VenomRAT en het botnet-ecosysteem Elysium.
Ambtenaren zeiden dat meer dan 1.025 servers werden verwijderd of verstoord en dat 20 domeinen tijdens de operatie in beslag werden genomen. De infrastructuur was verantwoordelijk voor het infecteren van honderdduizenden apparaten en het verzamelen van enkele miljoenen gestolen inloggegevens. Veel slachtoffers waren zich er naar verluidt niet van bewust dat hun systemen waren gecompromitteerd.
Een van de belangrijkste ontwikkelingen was een arrestatie in Griekenland op 3 november van een verdachte waarvan wordt aangenomen dat hij verbonden is met de VenomRAT-trojan. De autoriteiten zeiden dat deze persoon opereerde binnen een internationaal kader dat tools voor externe toegang bood aan andere cybercriminele actoren. Rhadamanthys, dat eind 2022 uitgroeide tot een malware-as-a-service-aanbod, was via ondergrondse forums op de markt gebracht tegen maandelijkse abonnementstarieven tussen $ 300 en $ 500. De toolkit van de infostealer werd uitgebreid met functionaliteiten zoals het extraheren van cryptocurrency-portemonneesleutels en diefstal van browsercookies, waardoor het een belangrijke factor is voor verdere inbraken.
Europol merkte op dat de operator van de infostealer toegang had tot meer dan 100.000 cryptocurrency-portefeuilles, mogelijk ter waarde van miljoenen euro’s. Elysium van zijn kant leverde botnet-infrastructuur die grootschalige distributie van kwaadaardige payloads, geanonimiseerd proxyverkeer en netwerken voor beheer op afstand mogelijk maakte, die zowel de IT-systemen van ondernemingen als, in sommige gevallen, operationele technologieomgevingen in gevaar brachten.
De wereldwijde deelname aan wetshandhaving was breed en omvatte Australië, België, Canada, Denemarken, Frankrijk, Duitsland, Griekenland, Litouwen, Nederland, het Verenigd Koninkrijk en de Verenigde Staten. Partners uit de particuliere sector droegen ook technische inlichtingen en forensische gegevens bij. Sommige bedrijven meldden dat de back-endpanelen van Rhadamanthys offline gingen en dat verschillende aangesloten gebruikers werden buitengesloten van malwarecontrolesystemen, wat betekent dat de verstoring rechtstreeks van invloed was op het bedrijfsmodel achter de stealer. Het verwijderen van belangrijke infrastructuur zal naar verwachting de gemakkelijke toegang verminderen voor filialen die de malwareservices huren en kan het volume van gecompromitteerde systemen tijdelijk verminderen.
Concrete impact en vervolgstappen voor organisaties
De operatie leverde tastbare resultaten op die verder gingen dan de inbeslagname van de server en de arrestaties van verdachten. Wetshandhavingsbronnen deelden mee dat de infrastructuur verband hield met infectiecampagnes in meer dan 226 landen en gebieden, waarbij Shadowserver tussen maart en november 2025 525.303 unieke Rhadamanthys-stealerinfecties meldde en meer dan 86 miljoen bijbehorende “informatie-stelende” evenementen.
Uit rapporten blijkt dat de gecompromitteerde gegevens sessietokens, inloggegevens, in de browser opgeslagen wachtwoorden en cryptocurrency-portefeuillesleutels bevatten. Verschillende databases met getroffen e-mailadressen en wachtwoorden werden gepubliceerd op platforms zoals HaveIBeenPwned, waardoor individuen en organisaties konden controleren op mogelijke blootstelling.
Voor organisaties is de verwijdering een kans om te beoordelen of hun netwerken of klanten zijn geïnfecteerd door een van de verstoorde malwarefamilies. Hoewel operationele verstoring van de infrastructuur het onmiddellijke risico vermindert, kunnen cybercriminele groepen snel opnieuw opbouwen of migreren naar nieuwe platforms. Analisten benadrukken dat verdedigers waakzaam moeten blijven en de detectie van gedrag van bedreigingsactoren moeten verbeteren, zoals abnormale uitgaande verbindingen, plotselinge toename van activiteiten op afstand of onverwacht gebruik van command-and-control-domeinen.
De focus op tools voor initiële toegang, zoals infostealers en botnets, weerspiegelt een verschuiving in de malware-economie. In plaats van zich alleen te richten op de uiteindelijke ransomware-payloads, beginnen veel aanvallen met diefstal van inloggegevens en infiltratie van endpoints, gevolgd door zijwaartse beweging naar doelen met een hogere waarde. Door de toeleveringsketen van deze tools te verstoren, probeerde Operation Endgame het hele ecosysteem te verzwakken in plaats van afzonderlijke operators neer te halen. De autoriteiten waarschuwen echter dat dit niet het einde van de dreiging is. De infrastructuur die in deze fase wordt ontmanteld, kan opnieuw worden ontworpen of vervangen door nieuwe varianten.
Organisaties wordt geadviseerd om te controleren op indicatoren van de getroffen malwarefamilies in hun omgevingen. Dit omvat het zoeken naar verouderde tools voor externe toegang, ongebruikelijk versleuteld uitgaand verkeer of onbekende processen met bevoegdheden op systeemniveau. Ervoor zorgen dat back-ups geïsoleerd zijn, beheerderstoegang beperken en multi-factor authenticatie toepassen zijn eenvoudige maar essentiële beveiligingen. De verstoring benadrukt ook het belang van sectoroverschrijdende samenwerking, tijdige uitwisseling van inlichtingen en coördinatie tussen publieke en private entiteiten.
Operation Endgame is misschien wel een van de grootste gecoördineerde aanvallen op malware-as-a-service-platforms tot nu toe. Door de infrastructuur ter ondersteuning van Rhadamanthys, VenomRAT en Elysium uit de lucht te halen, hebben wetshandhavingsinstanties de basis gelegd voor meerdere cybercriminele netwerken. De effecten zullen waarschijnlijk in de loop van de tijd worden gemeten wanneer criminele operators weer opbouwen en wanneer verdedigers de sanering van gecompromitteerde activa beoordelen. Voor de miljoenen slachtoffers die mogelijk getroffen zijn, kan de operatie enige verlichting bieden, hoewel de bredere strijd tegen commodity-malware nog lang niet voorbij is.