九國聯合行動摧毀千余臺惡意軟件服務器

在針對網絡犯罪的國際行動“Operation Endgame”最新階段中，來自九個國家的執法機構成功搗毀了1000余臺服務器。這些服務器被用于Rhadamanthys信息竊取惡意軟件、VenomRAT遠程控制木馬及Elysium僵尸網絡的運營活動。

2025年11月10日至14日期間，警方在德國、希臘和荷蘭的11處地點開展搜查行動，查封20個域名，并關停了1025臺被上述惡意軟件用于運營的服務器。

“Operation Endgame”此階段還促成一項關鍵進展：2025年11月3日，希臘警方逮捕了一名與VenomRAT遠程控制木馬相關的核心嫌疑人。

歐洲刑警組織在發布的新聞稿中表示：“此次搗毀的惡意軟件基礎設施，關聯著數十萬臺受感染計算機，其中包含數百萬條被盜憑證。”

許多受害者并未察覺自己的系統已遭入侵。該信息竊取惡意軟件的主謀，可訪問這些受害者的超10萬個加密貨幣錢包，其潛在價值高達數百萬歐元。

歐洲刑警組織還建議公眾通過“politie.nl/checkyourhack”和“haveibeenpwend.com”平臺，查詢自身計算機是否感染上述惡意軟件。

Rhadamanthys 暗網網站顯示查封通知

協助執法機構實施此次打擊行動的Lumen公司“黑蓮花實驗室”（Black Lotus Labs）指出，Rhadamanthys惡意軟件的運營活動自2023年起穩步擴張，2025年10月至11月期間增長態勢尤為顯著。

據Lumen監測，該惡意軟件日均活躍服務器數量達300臺，2025年10月峰值時更是達到535臺。其中，美國、德國、英國和荷蘭境內的服務器，占Rhadamanthys所有命令與控制（C2）服務器的60%以上。

值得注意的是，超60%的Rhadamanthys C2服務器未被VirusTotal平臺檢測到。這種隱蔽性推動了近期受害者數量激增——2025年10月，該惡意軟件日均影響超4000個獨立IP地址。

黑蓮花實驗室監測數據

Rhadamanthys信息竊取惡意軟件的運營已遭瓦解，其“惡意軟件即服務”模式的用戶反饋稱，已無法訪問自身服務器。

Rhadamanthys的開發者也在Telegram消息中表示，他們認為德國執法機構是此次打擊行動的主導方——原因是部署在歐盟數據中心的網頁控制面板顯示，在網絡犯罪分子失去訪問權限前，有德國IP地址進行過連接。

“Operation Endgame”此前已多次開展打擊，曾查封100余臺被各類惡意軟件用于運營的服務器，涉及IcedID、Bumblebee、Pikabot、Trickbot及SystemBC等知名惡意軟件家族。

該聯合行動還針對勒索軟件基礎設施、AVCheck網站、Smokeloader僵尸網絡的用戶與服務器，以及DanaBot、IcedID、Pikabot、Trickbot、Smokeloader、Bumblebee、SystemBC等其他主要惡意軟件運營活動采取了執法措施。

參考及來源：https://www.bleepingcomputer.com/news/security/police-disrupts-rhadamanthys-venomrat-and-elysium-malware-operations/