在针对网络犯罪的国际行动 "Operation Endgame" 最新阶段中，来自九个国家的执法机构成功捣毁了 1000 余台服务器。这些服务器被用于 Rhadamanthys 信息窃取恶意软件、VenomRAT 远程控制木马及 Elysium 僵尸网络的运营活动。

2025 年 11 月 10 日至 14 日期间，警方在德国、希腊和荷兰的 11 处地点开展搜查行动，查封 20 个域名，并关停了 1025 台被上述恶意软件用于运营的服务器。

"Operation Endgame" 此阶段还促成一项关键进展：2025 年 11 月 3 日，希腊警方逮捕了一名与 VenomRAT 远程控制木马相关的核心嫌疑人。

欧洲刑警组织在发布的新闻稿中表示：" 此次捣毁的恶意软件基础设施，关联着数十万台受感染计算机，其中包含数百万条被盗凭证。"

许多受害者并未察觉自己的系统已遭入侵。该信息窃取恶意软件的主谋，可访问这些受害者的超 10 万个加密货币钱包，其潜在价值高达数百万欧元。

欧洲刑警组织还建议公众通过 "politie.nl/checkyourhack" 和 "haveibeenpwend.com" 平台，查询自身计算机是否感染上述恶意软件。

Rhadamanthys 暗网网站显示查封通知

协助执法机构实施此次打击行动的 Lumen 公司 " 黑莲花实验室 "（Black Lotus Labs）指出，Rhadamanthys 恶意软件的运营活动自 2023 年起稳步扩张，2025 年 10 月至 11 月期间增长态势尤为显著。

据 Lumen 监测，该恶意软件日均活跃服务器数量达 300 台，2025 年 10 月峰值时更是达到 535 台。其中，美国、德国、英国和荷兰境内的服务器，占 Rhadamanthys 所有命令与控制（C2）服务器的 60% 以上。

美国云主机

美国免费vps

值得注意的是，超 60% 的 Rhadamanthys C2 服务器未被 VirusTotal 平台检测到。这种隐蔽性推动了近期受害者数量激增—— 2025 年 10 月，该恶意软件日均影响超 4000 个独立 IP 地址。

黑莲花实验室监测数据

Rhadamanthys 信息窃取恶意软件的运营已遭瓦解，其 " 恶意软件即服务 " 模式的用户反馈称，已无法访问自身服务器。

Rhadamanthys 的开发者也在 Telegram 消息中表示，他们认为德国执法机构是此次打击行动的主导方——原因是部署在欧盟数据中心的网页控制面板显示，在网络犯罪分子失去访问权限前，有德国 IP 地址进行过连接。

"Operation Endgame" 此前已多次开展打击，曾查封 100 余台被各类恶意软件用于运营的服务器，涉及 IcedID、Bumblebee、Pikabot、Trickbot 及 SystemBC 等知名恶意软件家族。

该联合行动还针对勒索软件基础设施、AVCheck 网站、Smokeloader 僵尸网络的用户与服务器，以及 DanaBot、IcedID、Pikabot、Trickbot、Smokeloader、Bumblebee、SystemBC 等其他主要恶意软件运营活动采取了执法措施。

查看原文