Правоохоронці дев’яти країн за координації Європолу та Євроюсту провели черговий етап Operation Endgame, спрямований на демонтаж кіберзлочинної інфраструктури. У період з 10 по 14 листопада 2025 року відключено 1025 серверів, вилучено 20 доменів і проведено обшуки у 11 локаціях у Німеччині, Греції та Нідерландах. Під удар потрапили екосистеми, пов’язані з інфостілером Rhadamanthys, RAT‑інструментом VenomRAT та ботнетом Elysium.
Масштаб операції та публічно‑приватне партнерство
До нейтралізації інфраструктури долучилися провідні приватні аналітичні команди та проєкти: Cryptolaemus, Shadowserver, SpyCloud, Team Cymru, Proofpoint, CrowdStrike, Lumen, Abuse.ch, Have I Been Pwned, Spamhaus, DIVD, Bitdefender. Такий формат співпраці прискорює атрибуцію, синхронізує відключення в різних юрисдикціях і забезпечує юридичне закріплення вилучення доменів.
Напередодні рейдів оператори Rhadamanthys фіксували втрату доступу до панелей керування; спостерігалися аномальні логіни з німецьких IP, що вказувало на підготовку слідчих дій. Офіційні повідомлення Endgame підтвердили ці індикатори.
Що саме нейтралізовано: Rhadamanthys, VenomRAT і Elysium
Rhadamanthys — інфостілер і крадіжка таємниць
Rhadamanthys спеціалізується на ексфільтрації паролів, cookies, автозаповнення браузерів і даних криптогаманців. За даними Європолу, вилучена інфраструктура контролювала сотні тисяч інфікованих пристроїв і містила мільйони викрадених облікових записів. Ключовий фігурант мав доступ до понад 100 000 криптогаманців потенційних жертв.
VenomRAT — стійкий віддалений контроль
VenomRAT забезпечує постійний RDP‑подібний доступ, кейлогінг та розгортання додаткової малварі. 3 листопада в Греції затримано одного з підозрюваних, пов’язаних з цією інфраструктурою.
Elysium — ботнет як платформа для атак
Elysium використовує зламані хости як транспорт і плацдарм для подальших фішингових кампаній, спаму й доставки шкідливих модулів, розширюючи площину атаки та ускладнюючи тріаж інцидентів.
Динаміка C2 та географія: дані Lumen і Shadowserver
За спостереженнями Lumen, у жовтні–листопаді 2025 року активність Rhadamanthys різко зросла: у середньому ~300 активних C2‑серверів на добу, з піком у 535 у жовтні. Понад 60% керувальних вузлів хостилися в США, Німеччині, Великій Британії та Нідерландах. Важливий індикатор оборотності — понад 60% C2 не ідентифікувалися VirusTotal, що корелює зі сплеском інфікувань понад 4000 унікальних IP на день у жовтні.
Shadowserver фіксував, що Rhadamanthys часто ставав першим етапом ланцюжка компрометації, після чого доставлялися інші сімейства шкідників. З березня по листопад 2025 року нараховано 525 303 інциденти зараження та понад 86,2 млн подій, пов’язаних із крадіжкою даних; близько 63 000 уражених IP припадало на Індію.
Ризики для користувачів і як перевірити компрометацію
Інфостілери і RAT‑інструменти небезпечні довготривалим латентним перебуванням: викрадені токени сесій, паролі та криптоактиви можуть зловживатися ще до виявлення. Рекомендовано перевірити себе на злам через офіційні сервіси: politie.nl/checkyourhack та haveibeenpwned.com.
Базові кроки реагування для користувачів і організацій:
- Повна перевстановлення або глибоке очищення інфікованих систем; аудит розширень браузера.
- Ротація паролів і обнулення токенів сесій; увімкнення MFA скрізь, де це можливо.
- Переведення криптоактивів у нові гаманці з «чистих» пристроїв.
- Впровадження EDR/антивірусів із поведінковою аналітикою; моніторинг звернень до відомих C2‑доменів/IP.
- Оновлення правил IDS/IPS, блок‑листів; ретроспективний пошук IOC, опублікованих учасниками операції.
Контекст Endgame: системний тиск на екосистему шкідників
Раніше в межах Endgame правоохоронці нейтралізували сервіс AVCheck і низку відомих сімейств: SmokeLoader, DanaBot, IcedID, Pikabot, Trickbot, Bumblebee, SystemBC. Послідовні скоординовані демонтажі вказують на дієву стратегію «деконструкції логістики» кіберзлочинності — від хостингу та C2 до допоміжних сервісів.
Міжнародна взаємодія правоохоронців і приватних команд показує, що системне руйнування C2‑інфраструктури працює й масштабується. Саме час перевірити активи на компрометацію, оновити політики управління обліковими даними, увімкнути MFA та виконати ротацію секретів. Чим швидше проведені очищення середовищ і мисливство за IOC, тим нижчий ризик повторного зараження та зловживання викраденими даними.
