Dutzende Kunden des Infostealers Rhadamanthys berichten über den plötzlichen Verlust des Zugriffs auf Server und Web-Panels. Laut Meldungen, auf die sich BleepingComputer unter Verweis auf die Forscher g0njxa und Gi7w0rm stützt, vermuten Akteure auf Untergrundforen eine Operation deutscher Strafverfolgungsbehörden. Zusätzlich sind mehrere Tor-Ressourcen des Projekts nicht erreichbar – ohne das bei Beschlagnahmen übliche Hinweisbanner. Offizielle Bestätigungen liegen derzeit nicht vor.
Rhadamanthys als Malware-as-a-Service: Verbreitung und Fähigkeiten
Rhadamanthys zählt zu den verbreiteten Malware-as-a-Service (MaaS)-Infostealern. Abonnenten erhalten das Schadprogramm, eine Verwaltungs- und Auswertungsoberfläche sowie Support. Der Stealer extrahiert Zugangsdaten, Cookies, Autofill-Inhalte und weitere sensible Informationen aus Browsern, Mail-Clients und verwandten Anwendungen. Häufige Infektionspfade sind Fake-Cracks, Links in YouTube-Beschreibungen und Malvertising in Suchmaschinenanzeigen – Taktiken, die in zahlreichen Kampagnen dokumentiert wurden.
Indikatoren für Eingriffe: SSH-Umstellung, Logins aus Deutschland und Tor-Ausfälle
Mehrere Nutzer berichten, dass SSH-Zugänge von Passwort- auf Zertifikatsauthentifizierung umgestellt wurden. Ein solches Härtungsmerkmal deutet auf eine serverseitige Konfigurationsänderung durch Dritte hin und gilt in der Praxis als Indikator für erzwungenen administrativen Zugriff, etwa im Zuge von Takedown-Maßnahmen. Parallel sollen Anmeldungen von deutschen IP-Adressen protokolliert worden sein; Störungen konzentrieren sich laut Berichten auf europäische Rechenzentren.
Bemerkenswert ist zudem die Nichtverfügbarkeit von Tor-Ressourcen ohne das bekannte Seizure-Banner. Das erhöht die Unsicherheit: Ein verdeckter Zugriff, laufende forensische Maßnahmen oder ein koordiniertes Infrastruktur-Hardening sind gleichermaßen denkbar. Solche Muster wurden bei früheren Aktionen beobachtet, ehe Behörden die Übernahme offiziell bestätigten.
Mögliche Verbindung zu Operation Endgame
Mehrere Signale sprechen für einen Kontext mit der internationalen Operation Endgame, die auf Loader- und MaaS-Ökosysteme zielt. In deren Verlauf wurden unter anderem der Dienst AVCheck sowie Teile der Infrastruktur von SmokeLoader, DanaBot, IcedID, Pikabot, Trickbot, Bumblebee und SystemBC gestört oder demontiert. Der offizielle Webauftritt von Operation Endgame zeigte zuletzt einen Countdown für weitere Ankündigungen – ein Hinweis auf bevorstehende koordinierte Maßnahmen. Vergleichbare Multistakeholder-Operationen wurden von Europol und Eurojust in den vergangenen Jahren wiederholt koordiniert.
Auswirkungen und Risiken: Was eine Panel-Übernahme bedeuten kann
Sollten Ermittler Zugriff auf Teile der Rhadamanthys-Panels oder -Server erlangt haben, könnten Operator-IDs, Logdaten, Netzwerk-Telemetrie und Datendumps vorliegen. Bei früheren Takedowns wurden solche Informationen genutzt, um Opfer zu identifizieren und Remediation zu koordinieren – etwa bei QakBot (US-DoJ: weltweit über 700.000 kompromittierte Systeme) und Emotet (internationaler Takedown 2021 unter Führung europäischer Behörden). Konkrete Schlussfolgerungen zu Rhadamanthys bleiben jedoch bis zu einer offiziellen Bestätigung spekulativ.
Auffällig ist die Aussage aus Untergrundkreisen, dass zentralisierte “intelligente Panels” besonders betroffen seien, während individuell aufgesetzte Umgebungen teils verschont blieben. Aus Verteidigersicht bestätigt dies ein Grundprinzip: Zentralisierte Steuerungsplattformen schaffen Single Points of Failure und vergrößern die Angriffsfläche – für Kriminelle wie für Strafverfolger.
Empfehlungen für IT- und Security-Teams
– Zugangsdaten-Inventur und Rotation: Passwörter kompromittierter Konten sofort erneuern, MFA für kritische Systeme erzwingen.
– Sitzungen und Tokens widerrufen: Aktive Sessions, OAuth-Tokens und Browser-Cookies invalidieren, wenn Endpunkte potenziell betroffen waren.
– EDR/NGAV und Netzwerkregeln aktualisieren: TTPs von Infostealern und gängige Lieferketten (Malvertising, Fake-Installer) in Signaturen und Detections abbilden.
– SSH-Anomalien überwachen: Unerwartete Wechsel auf Zertifikatslogin, neue Schlüssel, unbekannte Admin-Konten und Logins aus untypischen Geo-IPs alarmbasiert tracken – speziell in EU-DCs.
– Benutzer sensibilisieren: Risiken durch „Cracks“, Keygens und Links in Video-Beschreibungen regelmäßig schulen; Download-Policies technisch durchsetzen.
– Netzwerksegmentierung und Least Privilege: Laterale Bewegungen erschweren, Exfiltrationspfade minimieren; Leaks von Zugangsdaten kontinuierlich prüfen.
Unabhängig vom endgültigen Ausgang verdichtet sich das Bild: Der Druck auf Malware-as-a-Service nimmt zu, Takedowns werden technischer und zielgerichteter. Organisationen sollten jetzt Angriffsoberflächen reduzieren, Erkennungsregeln schärfen und Reaktionsprozesse testen. Wer MFA breit ausrollt, privilegierte Zugriffe strikt minimiert und Telemetrie aktiv auswertet, senkt das Risiko nachhaltig und ist besser auf neue Entwicklungen rund um Rhadamanthys und mögliche Fortsetzungen der Operation Endgame vorbereitet.
