Internationale Strafverfolgungsbehörden haben in einer koordinierten Großaktion einen bedeutenden Schlag gegen das globale Cybercrime-Ökosystem geführt. Am 13. November 2025 nahmen Ermittler weltweit Teile der Infrastruktur der berüchtigten Malware Rhadamanthys offline. Proofpoint unterstützte mit seinen Security-Experten die Aktion im Rahmen der „Operation Endgame“.
Ziel war es, nicht nur die technischen Ressourcen dieser Malware-as-a-Service (MaaS) zu zerstören, sondern auch die Unsicherheit innerhalb der kriminellen Szene nachhaltig zu verstärken.
Vom flexiblen Stealer zur professionellen Cybercrime-Plattform
Die seit 2022 verwendete Rhadamanthys-Malware ist ein modularer und hochgradig anpassbarer Information-Stealer, der von unterschiedlichsten, teils sehr professionellen Akteuren genutzt wird. Er wird über E-Mails, kompromittierte Webseiten und gezielte Malvertising-Kampagnen verbreitet.
Für eine monatliche Gebühr im mittleren dreistelligen US-Dollarbereich konnten Cyberkriminelle auf ein flexibel konfigurierbares Baukastensystem zurückgreifen, das sich für einfache bis zu hochkomplexe Angriffsketten nutzen ließ. Seit ihrer ersten Entdeckung hat sich die Malware kontinuierlich weiterentwickelt.
Nachhaltiger Effekt weit über die technische Abschaltung hinaus
Operation Endgame ist keine einmalige Maßnahme, sondern eine laufende internationale Initiative, die auf die Zerschlagung von Malware- und Botnetz-Infrastrukturen abzielt. Frühere Aktionen richteten sich unter anderem gegen IcedID, Bumblebee, Trickbot und Lumma Stealer und führten zu einem drastischen Rückgang dieser Malware-Familien in weltweiten E-Mail-Kampagnen.
Mit der gezielten Ausschaltung der Rhadamanthys-Server und der damit verbundenen Dienste wie Elysium Proxy Bot setzen die beteiligten Behörden und Partner nun ein weiteres Zeichen für die nachhaltige Störung großer krimineller Plattformen.
Ermittlungen legen Vertrauensbruch innerhalb der Cybercrime-Community offen
Ermittler fanden Hinweise, dass die Betreiber von Rhadamanthys nicht nur Daten von regulären Opfern, sondern auch von ihren eigenen Partnern stahlen. Diese Enthüllung könnte das Vertrauen in das MaaS-Angebot nachhaltig beschädigen und zu einer Neuorientierung innerhalb der Szene führen.
Cyberkriminelle, die bisher auf Rhadamanthys vertrauten, stehen nun unter Druck, ihre Angriffsketten umzustellen und alternative Malware wie Amatera Stealer oder Monster V2 zu prüfen – verbunden mit zeitlichen, finanziellen und organisatorischen Herausforderungen.
Meilenstein im Kampf gegen Malware-Dienste
Proofpoint betont, dass diese Zerschlagung nicht nur eine technische Maßnahme, sondern auch ein strategischer Eingriff in die Ökonomie des Cybercrime darstellt. Indem bewährte Werkzeuge der Täter vom Markt genommen werden, wird deren Handlungsfähigkeit unmittelbar reduziert und Misstrauen unter potenziellen Nutzern geschürt.
Gleichzeitig weist das Unternehmen auf neue Trends hin, die für Cybersicherheits-Verantwortliche relevant sind: Darunter die zunehmende Kombination von Information-Stealern mit Remote-Monitoring- und Management-Software, sowie Social-Engineering-Techniken, die gezielt Menschen und nicht nur Technologien manipulierbar machen.