Sohbete sabah 3:47’de uyarı geldi: “Sunucunuzu derhal yeniden yükleyin, izleri silin, Alman polisi harekete geçiyor.”
Rhadamanthys bilgi hırsızlığını kullanan dünya çapındaki siber suçlular, Alman kolluk kuvvetlerinin IP adreslerinin web panellerinde görünmesini gerçek zamanlı olarak izledi ve bu, araştırmacıların şu anda dünya çapındaki en büyük kimlik bilgisi hırsızlığı operasyonlarından biri olarak ortaya çıkardığı şeyin çöküşünün sinyalini verdi.
10 ve 14 Kasım 2025 tarihleri arasında, Europol’ün Lahey’deki genel merkezinden koordine edilen yetkililer, Endgame Operasyonu’nun son aşamasında Rhadamanthys bilgi hırsızını, VenomRAT uzaktan erişim trojanını ve Elysium botnet’ini destekleyen 1.025 sunucuyu dağıttı.
Altyapı, birkaç milyon çalıntı kimlik bilgisi içeren ve potansiyel olarak milyonlarca avro değerinde 100.000’den fazla kripto para birimi cüzdanına erişim içeren yüz binlerce virüslü bilgisayarı kontrol ediyordu. Koordineli uluslararası eylem, Amerika Birleşik Devletleri, Kanada, Avustralya ve birçok Avrupa ülkesi dahil olmak üzere on bir ülkeden kolluk kuvvetlerini içeriyordu.
Kilit Şüpheli Yunanistan’da Tutuklandı
Yetkililer, 3 Kasım 2025’te Yunanistan’daki VenomRAT operasyonlarıyla bağlantılı bir baş şüpheliyi tutukladı. Tutuklama, daha geniş altyapının kaldırılmasından günler önce gerçekleşti; bu, müfettişlerin eş zamanlı saldırılar gerçekleştirmeden önce kapsamlı bir gözetim yürüttüğünü gösteriyor.
Memurlar, Almanya, Yunanistan ve Hollanda’da 11 noktada arama yaparken, kötü amaçlı yazılım operasyonlarıyla bağlantılı 20 alan adını ele geçirdi. Rhadamanthys geliştiricisi, Alman emniyet teşkilatının altyapılarına eriştiğini iddia ederek bir Telegram mesajıyla kesintiyi kabul etti.
Bilgi hırsızının müşteri tabanı arasında dolaşan mesajlara göre, AB veri merkezlerinde barındırılan web panelleri, siber suçluların sunucu erişimini kaybetmesinden hemen önce bağlanan Alman IP adreslerini kaydetti. Kötü amaçlı yazılım operasyonlarını izleyen g0njxa ve Gi7w0rm olarak bilinen güvenlik araştırmacıları, Rhadamanthys kullanan siber suçluların kolluk kuvvetlerinin eylemi hakkında acil uyarılar aldığını bildirdi.
Operatörler, SSH erişiminin aniden root şifreleri yerine sertifika gerektirdiğini fark ettiğinden, dahili iletişimlerde faaliyetlerin derhal durdurulması ve izlerin silinmesi için sistemin yeniden kurulması tavsiye edildi. Müşteriler kolluk kuvvetlerinin komuta ve kontrol altyapılarına sızdığını fark ettiğinde panik yer altı forumlarında hızla yayıldı.
Hizmet Olarak Kötü Amaçlı Yazılım İş Modeli Bozuldu
Rhadamanthys, siber suçluların kötü amaçlı yazılımlara erişim, destek ve çalınan verileri toplamak için kullanılan web panelleri için aylık ücret ödediği bir abonelik modeliyle çalışıyor. Operasyon, ayrıntılı ürün açıklamaları, Telegram destek kanalı ve Tox mesajlaşma yoluyla iletişim içeren bir Tor web sitesi aracılığıyla kendisini profesyonel olarak “Efsanevi Köken Laboratuvarları” olarak pazarladı.
Ayrıca okuyun: Google Ads’e Karşı Dikkatli Olun: Rhadamanthys Stealer Burada!
Bilgi hırsızı, tarayıcılardan, şifre yöneticilerinden ve kripto cüzdanlarından oturum açma kimlik bilgilerini, tarayıcı verilerini, kripto para birimi cüzdan bilgilerini, otomatik olarak doldurulmuş verileri ve diğer hassas bilgileri çalar. Abonelik planları birden fazla katmana yayılmış ve farklı düzeylerde işlevsellik ve destek sağlıyordu.
Kötü amaçlı yazılım genellikle yazılım çatlakları, kötü amaçlı YouTube videoları veya zehirli arama reklamları olarak tanıtılan kampanyalar aracılığıyla yayılır. Çalınan kimlik bilgileri sessizce saldırganların kontrolündeki altyapıya sızdığı için çoğu kurban, sistemlerindeki bulaşmalardan habersiz kaldı.
VenomRAT, çeşitli dosyaları sızdırabilen, kripto para birimi cüzdanlarını ve tarayıcı verilerini, kredi kartı ayrıntılarını, hesap şifrelerini ve kimlik doğrulama çerezlerini çalabilen bir uzaktan erişim truva atı olarak işlev görür. Her iki kötü amaçlı yazılım ailesi de müşterilerin çalınan verileri kimlik hırsızlığı, mali dolandırıcılık ve takip eden saldırılar için kullandığı daha geniş siber suç ekosistemlerini etkinleştirici olarak faaliyet gösteriyordu.
Elysium Botnet Altyapısı Ortadan Kaldırıldı
Aynı operatörler tarafından Rhadamanthys ile birlikte proxy bot hizmeti olarak pazarlanan Elysium botneti, operasyonun kapsamına girdi. Güvenlik araştırmacıları, Rhadamanthys veya VenomRAT bulaşmış makinelerin aynı zamanda proxy botla donatılmış olabileceğini ve bunun da çeşitli kötü amaçlı amaçlara hizmet eden çok katmanlı bir suç altyapısı oluşturduğunu değerlendiriyor.
Parçalanan altyapı, birçok kıtadaki yüzbinlerce virüslü bilgisayardan oluşuyordu. Pek çok kurban, suçluların kötü niyetli trafiği yönlendirmek ve saldırı kökenlerini gizlemek için kullandıkları proxy ağlarına farkında olmadan katıldı.
Operasyon Sonu web sitesi, Rhadamanthys operatörleriyle alay eden ve müşterilerini kolluk kuvvetleriyle iletişime geçmeye teşvik eden yeni video içeriğiyle güncellendi. Sitede daha önce yaklaşan eylemleri duyuran geri sayım sayaçları yer alıyordu ve bu da siber suçlular üzerinde psikolojik baskı oluşturuyordu.
Endgame Operasyonu Hakkında
Europol tarafından fidye yazılımı dağıtımında önemli rol oynayan botnet’lere karşı şimdiye kadarki en büyük operasyon olarak tanımlanan Endgame Operasyonu, Mayıs 2024’te ilk eylemlerle başlatıldı. Önceki aşamalar IcedID, Bumblebee, Pikabot, Trickbot, SystemBC, SmokeLoader ve DanaBot kötü amaçlı yazılım operasyonlarını kesintiye uğrattı.
Okuyun: Endgame Operasyonu – Fidye Yazılımı Sunmak İçin Kullanılan Birden Fazla Botnet’e Karşı Şimdiye Kadarki En Büyük Operasyon
Mayıs 2024’teki eylemler dört tutuklamayla, 10 ülkede 100’den fazla sunucunun kapatılmasıyla, 2.000’den fazla alanın kolluk kuvvetlerinin kontrolüne alınmasıyla ve çeşitli kripto para birimlerinde 3,5 milyon Euro’nun ele geçirilmesiyle sonuçlandı.
Shadowserver, 14 Mart ile 11 Ekim 2025 tarihleri arasında virüs bulaşan cihazlar hakkında bilgi içeren bir Rhadamanthys Tarihsel Bot Enfeksiyonları Özel Raporu yayınladı. Rapor, ele geçirilen bilgisayarları tespit etmek ve sahipleri uyarmak için 175 ülkedeki 201 Ulusal CSIRT ve 10.000’den fazla ağ sahibiyle paylaşıldı. Yetkililer ilgili mağdurlar için erişilebilir kaynaklar oluşturdu.
Güvenlik araştırmacıları, Endgame Operasyonu’nun başarısına rağmen bazı kötü amaçlı yazılım operasyonlarının dayanıklılık gösterdiği konusunda uyarıyor. DanaBot bankacılık truva atı, kesintiden yaklaşık altı ay sonra 669 sürümüyle yeniden ortaya çıktı ve kripto para hırsızlığına odaklanarak siber suç altyapısının kalıcı doğasını ortaya koydu.
Birbirine bağlı üç suç platformunun eşzamanlı olarak ortadan kaldırılması, altyapıyı bozarak dünya çapında en zarar verici siber suçlardan bazılarını mümkün kılıyor; ancak müfettişler, suç gruplarının operasyonlarını yeniden inşa etmesinin engellenmesi konusunda süregelen zorluğu kabul ediyor.