In einer koordinierten Aktion unter Führung von Europol und Eurojust haben Strafverfolgungsbehörden aus Australien, Kanada, Dänemark, Frankreich, Deutschland, Griechenland, Litauen, den Niederlanden und den USA die Infrastruktur mehrerer bedeutender Malware-Ökosysteme zerschlagen. Zwischen dem 10. und 14. November 2025 wurden 1.025 Server deaktiviert, 20 Domains beschlagnahmt und Durchsuchungen an 11 Standorten in Deutschland, Griechenland und den Niederlanden durchgeführt.
Endgame im Überblick: Beteiligte, Umfang und Wirkung
Das Ziel der Operation waren Infrastrukturen, die mit dem Infostealer Rhadamanthys, dem Remote-Access-Trojaner VenomRAT und dem Botnet Elysium in Verbindung stehen. Laut Europol kontrollierten die abgeschalteten Netze hunderttausende kompromittierte Systeme und umfassten Millionen gestohlener Zugangsdaten. Ein Hauptverdächtiger verfügte über Zugriff auf mehr als 100.000 Kryptogeld-Wallets. Bereits am 3. November wurde in Griechenland ein Tatverdächtiger mit Bezug zu VenomRAT festgenommen.
Public-Private Partnership als Erfolgsfaktor
Die Maßnahmen wurden durch ein breit aufgestelltes öffentlich-privates Bündnis unterstützt, darunter Cryptolaemus, Shadowserver, SpyCloud, Team Cymru, Proofpoint, CrowdStrike, Lumen, Abuse.ch, Have I Been Pwned, Spamhaus, DIVD und Bitdefender. Dieses Modell beschleunigte Attribution, synchronisierte Abschaltzeitpunkte und erleichterte die Rechtssicherung beschlagnahmter Domains – ein erprobter Ansatz für nachhaltig wirksame Takedowns.
Technische Einordnung: Rhadamanthys, VenomRAT und Elysium
Rhadamanthys ist ein Infostealer, der gespeicherte Passwörter, Cookies, Auto-Fill-Daten und Wallet-Informationen aus Browsern exfiltriert. VenomRAT gewährt Angreifern persistente Fernsteuerung von Zielsystemen, inklusive Keylogging und Nachladen weiterer Schadsoftware. Elysium fungiert als Botnet-Plattform, die kompromittierte Hosts für Phishing, Spam, DDoS oder die Verteilung zusätzlicher Malware missbraucht.
Aktivitätsmuster und C2-Infrastruktur
Daten von Lumen zeigen für Oktober–November 2025 im Schnitt täglich rund 300 aktive C2-Server von Rhadamanthys, mit einem Peak von 535 C2s im Oktober. Über 60 % der Steuerknoten lagen in den USA, Deutschland, dem Vereinigten Königreich und den Niederlanden. Bemerkenswert: Mehr als 60 % der C2-Server wurden nicht von VirusTotal erfasst – ein Faktor für den Anstieg der Infections auf über 4.000 eindeutige IPs pro Tag im Oktober.
Shadowserver beobachtete Rhadamanthys häufig als Initialzugang in Angriffsketten, mit anschließendem Nachladen zusätzlicher Malware. Zwischen März und November 2025 wurden 525.303 Infektionen sowie über 86,2 Millionen datendiebstahlsbezogene Ereignisse registriert. Rund 63.000 betroffene IPs entfielen auf Indien.
Risiken und Detection: Was Betroffene jetzt tun sollten
Infostealer und RATs sind aufgrund persistenter Sessions, gestohlener Tokens und latenter Backdoors besonders gefährlich. Datenmissbrauch kann lange unentdeckt bleiben und sich über Kontoübernahmen, Krypto-Abflüsse und Lateralmovement manifestieren. Europol empfiehlt die Prüfung auf Kompromittierung über politie.nl/checkyourhack sowie die Validierung eigener Identitäten über haveibeenpwned.com.
Empfohlene Maßnahmen: Neuinstallation oder forensisch saubere Bereinigung betroffener Systeme; Passwortrotation und Session-Token-Reset; konsequente MFA; Audit und Entfernung verdächtiger Browser-Extensions; Transfer von Kryptoassets in neue Wallets von „sauberen“ Geräten; Einsatz von EDR/AV mit Verhaltensanalytik; Netzwerkmonitoring auf bekannte C2-Domains/IPs; Aktualisierung von IDS/IPS-Regeln, Blocklisten und Retrohunting der von den Operationsteilnehmern publizierten IOCs.
Einordnung im Kontext: Kontinuität des Drucks auf Cybercrime
Operation Endgame reiht sich in frühere Schläge gegen die Infrastruktur von AVCheck sowie Malware-Familien wie SmokeLoader, DanaBot, IcedID, Pikabot, Trickbot, Bumblebee und SystemBC ein. Das Muster ist klar: Durch systematische Dekomposition von C2- und Hosting-Assets werden Ökosysteme destabilisiert, Monetarisierungsketten unterbrochen und die Kosten für Angreifer erhöht.
Die aktuellen Abschaltungen sind ein wichtiger, aber nicht endgültiger Schritt. Angreifer weichen erfahrungsgemäß auf neue Hosting-Provider, verschleierte C2-Topologien und Fallback-Infrastruktur aus. Organisationen und Nutzer sollten das Momentum nutzen: Systeme prüfen, Geheimnisse rotieren, MFA flächendeckend aktivieren und Netzwerk- sowie Endpoint-Telemetrie engmaschig überwachen. Schnelles Handeln senkt das Risiko von Reinfektionen und die Ausbeutung bereits abgeflossener Daten nachhaltig.
