Op 13 november 2025 heeft
de politie in samenwerking met andere wetsinstanties de infrastructuur van Rhadamanthys ontmanteld. Hierbij werden zowel meerdere servers die in verband stonden met het beheer en de werking van de malware als de infrastructuur van partners die de malware gebruikten uitgeschakeld. De ontmanteling maakte onderdeel uit van
Operation Endgame, een samenwerking tussen internationale wetshandhavingsinstanties en partners uit de particuliere sector. Ook aanvullende diensten als Elysium Proxy Bot werden getroffen.
Opvallend is dat de wetshandhavingsinstanties ook een video op de hoofdwebsite van de operatie hebben geplaatst. Hierin wordt gesuggereerd dat de dreigingsactor achter Rhadamanthys niet alleen operaties voor het stelen van informatie faciliteerde, maar ook gevoelige gegevens van aan Rhadamanthys verbonden partijen stal. Naast de verstoring van de infrastructuur zal deze operatie waarschijnlijk ook een negatieve invloed hebben op de reputatie van de criminelen, waardoor aanverwante partijen hen zullen wantrouwen.
De ontwikkeling van Rhadamanthys
De malware van Rhadamanthys is in de loop der tijd aanzienlijk geëvolueerd, wat een weerspiegeling is van de constant ontwikkelende technieken van cybercriminelen. Rhadamanthys werd voor het eerst waargenomen in 2022. Het ontpopte zich snel als een geavanceerde infostealer die zich voornamelijk richtte op gevoelige gebruikersdata zoals inloggegevens, financiële informatie en systeemdetails. Het werd al snel populair op dark web forums, waar de mogelijkheden en het gemak waarmee het kan worden aangepast verschillende cybercriminelen aantrok.
Rhadamanthys heeft door de tijd heen meer nieuwe functies toegevoegd. Hierdoor kon het de ontwijkingstactieken en het aanpassingsvermogen verbeteren. Door updates kan het effectiever security en detectie ontwijken, bijvoorbeeld dankzij technieken zoals verduistering en anti-analyse. De makers van de malware introduceerden multi-stage payloads, waardoor de malware securitylagen kon omzeilen door zich in verschillende fasen en onopvallende stappen te verspreiden. Bovendien werd Rhadamanthys meer modulair, waardoor dreigingsactoren de functies konden afstemmen op specifieke aanvallen of doelen.
De beheerders verkopen toegang tot Rhadamanthys voor bedragen tussen de 300 en 500 dollar per maand, met opties voor een hogere prijs voor aangepast gebruik. Opvallend is dat sommige cybercriminele forums de verkoop van Rhadamanthys hebben verboden, omdat het kwaadwillenden in staat stelden om Rusland en landen van het Gemenebest van Onafhankelijke Staten aan te vallen.
De resultaten van Operation Endgame
Operation Endgame is een grootschalig initiatief van internationale wetshandhavingsinstanties en partners uit de particuliere sector, waaronder Proofpoint. Deze operatie verstoort malware en botnetinfrastructuur en identificeert de vermeende personen die bij deze activiteiten betrokken zijn. In mei 2024 richtte de eerste actie van Operation Endgame zich op meerdere malwarefamilies, waaronder IcedID, Bumblebee, SystemBC, Pikabot, SmokeLoader en meer. Volgens
Europol gaat het om de grootste operatie ooit tegen botnets die een belangrijke rol spelen bij de verspreiding van ransomware. De tweede grote actie van
Operation Endgame vond plaats in mei 2025 en was gericht op andere malwarefamilies en hun makers, waaronder
DanaBot, WarmCookie, Trickbot en Hijack Loader. Ook de grote Malware-as-a-Service Lumma Stealer is
het doelwit geworden van wetshandhavingsinstanties.
Operation Endgame heeft een aanzienlijke invloed gehad op het algemene e-maildreigingslandschap. Vooral door het verstoren van activiteiten die worden toegeschreven aan bekende Initial Access Broker (IAB)-payloads en ondersteunende malwarefamilies die via e-mailcampagnes worden verspreid. In maart 2023 werd bijvoorbeeld 17% van de op e-mail gebaseerde malwarecampagnes in de data van Proofpoint gekoppeld aan malware die het doelwit was van Operation Endgame. Dit aantal was in september 2025 gedaald tot 1%.
Het is belangrijk om op de hoogte te blijven van opkomende trends en het gedrag van prominente dreigingsactoren, gezien verstoringen door wetshandhaving het gedrag van deze actoren constant laten veranderen. Denk hierbij aan het gebruik van remote monitoring and managament software (RMM's), het toenemende gebruik van
infostealers en nieuwe social engineering-technieken die specifiek gericht zijn op mensen. Door inzicht te krijgen in het landschap kunnen organisaties verdedigingsmaatregelen tegen opkomende trends implementeren en zich voorbereiden op de beslissingen die dreigingsactoren nemen, zodat ze hen voor kunnen blijven.
Klik
hier voor het volledige onderzoek.