Decenas de clientes del infostealer Rhadamanthys informan de un corte súbito de acceso a servidores y paneles web de administración. Investigadores conocidos como g0njxa y Gi7w0rm —citados por BleepingComputer— señalan que en foros clandestinos crece la sospecha de una operación liderada por las fuerzas del orden en Alemania. En paralelo, varios recursos en la red Tor asociados al proyecto han quedado fuera de línea sin el típico aviso de incautación, aumentando la incertidumbre sobre el estado real de la infraestructura.
Rhadamanthys: infostealer en modelo MaaS y técnicas de distribución
Rhadamanthys es uno de los infostealers más populares en el ecosistema criminal, ofrecido como Malware-as-a-Service (MaaS). La suscripción da acceso al malware, a una web panel para consolidar información robada y a soporte técnico. Su repertorio incluye robo de credenciales, cookies y datos de autocompletado de navegadores y clientes de correo, además de otras aplicaciones. Se distribuye principalmente mediante malvertising, falsos “cracks” y enlaces en descripciones de vídeos de YouTube, tácticas que facilitan la infección masiva con baja fricción.
Indicios técnicos: SSH por certificado y accesos desde IP alemanas
Varios clientes reportan que el acceso SSH pasó de autenticación por contraseña a autenticación mediante certificado, un signo típico de reconfiguración por terceros, frecuente en escenarios de toma de control o incautación. Comentarios en foros recomiendan “reinstalar y limpiar” ante este cambio, atribuyendo la actividad a la policía alemana. Asimismo, los operadores afirman haber observado inicios de sesión desde direcciones IP de Alemania y mayores interrupciones en data centers europeos. La caída de los sitios en Tor sin banners oficiales de incautación refuerza la percepción de una operación en curso, aunque sin confirmación formal.
Posible conexión con Operation Endgame en la cadena MaaS
Los patrones apuntan a un posible enlace con Operation Endgame, la campaña internacional —anunciada públicamente en 2024— orientada a desmantelar loaders, botnets y servicios de apoyo a MaaS. En fases anteriores se detuvo el servicio AVCheck y se afectó infraestructura vinculada a SmokeLoader, DanaBot, IcedID, Pikabot, Trickbot, Bumblebee y SystemBC. El sitio oficial de la operación mantiene un countdown para próximos anuncios, lo que sugiere nuevas acciones coordinadas.
Impacto potencial: telemetría, logs y exposición de operadores
Si fuerzas del orden han obtenido control de paneles o servidores de Rhadamanthys, podrían acceder a logs operativos, identificadores de operadores, telemetría de red y bases de datos sustraídas. Precedentes como la operación contra QakBot (FBI, 2023) —que neutralizó una red con más de 700 000 equipos comprometidos y permitió desinstalar el malware en víctimas— muestran que los datos obtenidos se emplean para notificar a afectados y coordinar la remediación. No obstante, no existe confirmación oficial sobre Rhadamanthys, por lo que conviene evitar conclusiones definitivas.
Riesgo sistémico por centralización
Testimonios apuntan a que quienes gestionaron manualmente su infraestructura sufrieron menos que quienes dependían de “paneles inteligentes”. Este patrón es conocido: la centralización facilita la operativa criminal, pero crea puntos únicos de fallo y una superficie de ataque más atractiva para defensores y autoridades.
Recomendaciones de ciberseguridad para empresas
Endurecer identidades: realizar una revisión de cuentas, forzar el reset de contraseñas ante indicios de compromiso y habilitar MFA en sistemas críticos.
Invalidar sesiones: cerrar sesiones activas y tokens (incluidos cookies de navegador) en equipos sospechosos de exposición a infostealers.
Actualizar detecciones: ajustar reglas de EDR/NGAV y firmas de red frente a TTPs comunes de malvertising, falsa empaquetación e instaladores maliciosos.
Monitorear SSH y cloud: alertar cambios súbitos hacia SSH certificate auth, especialmente en data centers de la UE, y revisar accesos anómalos desde geolocalizaciones inusuales.
Concienciación del usuario: formar sobre los riesgos de descargar cracks o seguir enlaces de vídeos, un vector recurrente en campañas de Rhadamanthys.
La presión sobre el mercado MaaS aumenta y las operaciones de cumplimiento son cada vez más técnicas y precisas. Independientemente del desenlace, reforzar la postura defensiva frente a infostealers —MFA, segmentación de redes, privilegios mínimos, vigilancia de fugas de credenciales y seguimiento de comunicados oficiales de Operation Endgame— ayudará a reducir la superficie de ataque y acelerar la respuesta ante nuevas oleadas de amenazas.
