Europol tarafından koordine edilen yetkililer, birden fazla ülkedeki ortak kurumlarla işbirliği içinde, Endgame Operasyonu’nun son aşaması olarak tanımlanan önemli bir siber suç altyapısını bozdu. Eylem 10-13 Kasım 2025 tarihleri arasında gerçekleşti ve önde gelen üç kötü amaçlı yazılım hizmetini hedef aldı: bilgi hırsızı Rhadamanthys, uzaktan erişim truva atı VenomRAT ve botnet ekosistemi Elysium.
Yetkililer, operasyon sırasında 1.025’ten fazla sunucunun kapatıldığını veya kesintiye uğradığını, 20 alan adının ele geçirildiğini söyledi. Altyapı, yüz binlerce cihaza bulaşmaktan ve birkaç milyon çalıntı kimlik bilgisi toplamaktan sorumluydu. Pek çok kurbanın sistemlerinin ele geçirildiğinden habersiz kaldığı bildirildi.
Önemli gelişmeler arasında, VenomRAT truva atıyla bağlantılı olduğuna inanılan bir şüphelinin 3 Kasım’da Yunanistan’da tutuklanması da vardı. Yetkililer, bu kişinin diğer siber suçlu aktörlere uzaktan erişim araçları sağlayan uluslararası bir çerçevede faaliyet gösterdiğini söyledi. 2022’nin sonlarında hizmet olarak kötü amaçlı yazılım teklifine dönüşen Rhadamanthys, yeraltı forumları aracılığıyla aylık 300 ila 500 dolar arasında abonelik oranlarıyla pazarlanmıştı. Bilgi hırsızının araç seti, kripto para cüzdanı anahtarının çıkarılması ve tarayıcı çerez hırsızlığı gibi işlevleri içerecek şekilde genişletildi ve bu da onu daha fazla izinsiz girişin önemli bir kolaylaştırıcısı haline getirdi.
Europol, bilgi hırsızının operatörünün potansiyel olarak milyonlarca avro değerinde 100.000’den fazla kripto para cüzdanına erişimi olduğunu belirtti. Elysium ise hem kurumsal BT sistemlerini hem de bazı durumlarda operasyonel teknoloji ortamlarını tehlikeye atan kötü amaçlı yüklerin, anonimleştirilmiş proxy trafiğinin ve uzaktan kontrol ağlarının büyük ölçekli dağıtımını sağlayan botnet altyapısı sağladı.
Küresel kolluk kuvvetlerinin katılımı Avustralya, Belçika, Kanada, Danimarka, Fransa, Almanya, Yunanistan, Litvanya, Hollanda, Birleşik Krallık ve Amerika Birleşik Devletleri’ni kapsayacak şekilde genişti. Özel sektör ortakları da teknik istihbarat ve adli verilere katkıda bulundu. Bazı firmalar, Rhadamanthys’in arka uç panellerinin çevrimdışı olduğunu ve birkaç bağlı kuruluş kullanıcısının kendilerini kötü amaçlı yazılım kontrol sistemlerinin dışında bulduğunu bildirdi, bu da kesintinin hırsızın arkasındaki iş modelini doğrudan etkilediğini gösteriyor. Temel altyapının kaldırılmasının, kötü amaçlı yazılım hizmetlerini kiralayan bağlı kuruluşların erişim kolaylığını azaltması ve güvenliği ihlal edilmiş sistemlerin hacmini geçici olarak azaltması bekleniyor.
Kuruluşlar için somut etki ve sonraki adımlar
Operasyon, sunucuya el konulması ve şüpheli tutuklamaların ötesinde somut sonuçlar elde etti. Kolluk kuvvetleri kaynakları, altyapının 226’dan fazla ülke ve bölgedeki enfeksiyon kampanyalarıyla bağlantılı olduğunu ve Shadowserver’ın Mart ve Kasım 2025 arasında 525.303 benzersiz Rhadamanthys hırsızı enfeksiyonu ve 86 milyondan fazla ilişkili “bilgi çalma” olayı bildirdiğini paylaştı.
Raporlar, ele geçirilen verilerin oturum belirteçlerini, oturum açma kimlik bilgilerini, tarayıcıda saklanan parolaları ve kripto para cüzdan anahtarlarını içerdiğini gösteriyor. Etkilenen e-posta adresleri ve şifrelerden oluşan çeşitli veritabanları HaveIBeenPwned gibi platformlarda yayınlanarak bireylerin ve kuruluşların potansiyel maruziyeti kontrol etmesine olanak sağlandı.
Kuruluşlar için yayından kaldırma, ağlarına veya müşterilerine kesintiye uğrayan kötü amaçlı yazılım ailelerinden birinin bulaşıp bulaşmadığını inceleme fırsatı verir. Altyapının operasyonel olarak kesintiye uğraması anlık riski azaltırken, siber suçlu grupları hızla yeniden inşa edebilir veya yeni platformlara geçebilir. Analistler, savunucuların tetikte olmaları ve anormal giden bağlantılar, uzaktan erişim faaliyetlerinde ani artışlar veya komuta ve kontrol alanlarının beklenmedik kullanımı gibi tehdit aktörü davranışlarının tespitini geliştirmeleri gerektiğini vurguluyor.
Bilgi hırsızları ve botnet’ler gibi ilk erişim araçlarına odaklanmak, kötü amaçlı yazılım ekonomisindeki değişimi yansıtıyor. Birçok saldırı, yalnızca nihai fidye yazılımı yüklerini hedeflemek yerine, kimlik bilgisi hırsızlığı ve uç nokta sızması ile başlar ve ardından daha yüksek değerli hedeflere doğru yanal hareket gelir. Endgame Operasyonu, bu araçların tedarik zincirini bozarak, tek operatörleri devirmek yerine tüm ekosistemi zayıflatmaya çalıştı. Ancak yetkililer bunun tehdidin sonu olmadığı konusunda uyarıyor. Bu aşamada sökülen altyapı yeniden tasarlanabilir veya yeni varyantlarla değiştirilebilir.
Kuruluşların, ortamlarındaki etkilenen kötü amaçlı yazılım ailelerinin göstergelerini kontrol etmeleri önerilir. Bu, eski uzaktan erişim araçlarını, olağandışı şifrelenmiş giden trafiği veya sistem düzeyinde ayrıcalıklara sahip bilinmeyen işlemleri aramayı içerir. Yedeklemelerin izole edilmesini sağlamak, yönetici erişimini sınırlamak ve çok faktörlü kimlik doğrulamayı uygulamak temel ancak temel önlemlerdir. Kesinti aynı zamanda sektörler arası işbirliğinin, istihbaratın zamanında paylaşılmasının ve kamu ile özel kuruluşlar arasındaki koordinasyonun önemini de vurguluyor.
Endgame Operasyonu, hizmet olarak kötü amaçlı yazılım platformlarına karşı bugüne kadarki en büyük koordineli saldırılardan birini temsil ediyor olabilir. Kolluk kuvvetleri, Rhadamanthys, VenomRAT ve Elysium’u destekleyen altyapıyı çökerterek birden fazla siber suç ağının temeline vurdu. Suç operatörleri yeniden inşa edildikçe ve savunucular tehlikeye giren varlıkların iyileştirilmesini değerlendirdikçe etkiler muhtemelen zaman içinde ölçülecektir. Muhtemelen etkilenen milyonlarca kurban için operasyon bir miktar rahatlama sağlayabilir, ancak emtia amaçlı kötü amaçlı yazılımlara karşı daha geniş kapsamlı mücadele henüz bitmedi.