Sofistike çok modüler bir bilgi çalıcı olan Rhadamanthys, ilk olarak Eylül 2022’de ortaya çıktı ve o zamandan beri yeraltı forumlarında ticari olarak en gelişmiş kötü amaçlı yazılım tekliflerinden birine dönüştü.
Başlangıçta “Kingcrete2022” aktör tarafından ilan edilen ilk tasarımı, daha önceki gizli arı projesine büyük ölçüde çekildi ve hızlı özellik büyümesi ve profesyonel cila sağladı.
Zamanla Rhadamanthys, ClickFix gibi hedeflenen kampanyalar aracılığıyla sürekli çekiş kazandı ve hem acemi bağlı kuruluşları hem de tecrübeli tehdit aktörlerini çekti.
Ekim 2025 itibariyle, en son 0.9.2 sürümü, yükleyici mimarisine, özel yürütülebilir formatlarına ve kaçırma rutinlerine artımlı iyileştirmeler getirerek, tek kullanımlık bir yan projeden ziyade uzun vadeli bir iş girişimi olarak konumunu güçlendiriyor.
Check Point analistleri, Rhadamanthys’in yenilenmiş bir Tor mağazası, Telegram destek kanalı ve katmanlı lisanslama modeli ile tamamlanan “Rhad Güvenlik” ve “Mythical Origin Labs” markaları altında pazarlandığını belirtti.
Kötü amaçlı yazılım, kendi kendine barındırılan bir paket için ayda 299 $ ve kiralanan bir sunucu dağıtım için ayda 499 $ ‘dan sunulmaktadır ve bireysel müzakere yoluyla işletme fiyatlandırması mevcuttur.
.webp)
Bu profesyonelleşme, geliştiricilerin sürekli özellik geliştirme, sağlam destek ve devam eden özelleştirme seçeneklerine olan bağlılığının altını çizmektedir.
Teknik olarak, Rhadamanthys hem .NET hem de doğal PE formlarında bulunan bir polimorfik başlangıç yükleyici aracılığıyla dağıtılır. Yerel 32 ve 64 bit yükleyiciler, çekirdek modülleri içeren tescilli bir XS format paketini dağıtan Shellcode’a açılır.
Çevre kontrollerinden çalma çekirdeğine kadar uzanan her modül, özel bir kapta gizlenir ve analiz için standart PE dosyalarına yeniden yapılandırılması için özel dönüşüm araçları gerektirir.
.webp)
0.9.x sürümündeki en son değişiklikler, XS1B ve XS2B başlıkları, aerodinamik içe aktarma deobfuscation tuşunu ve 0x59485221’den 0xbeef’e takas edilen güncellenmiş yapılandırma işaretleyicilerini tanıtmaktadır.
Enfeksiyon mekanizması
Rhadamanthys 0.9’daki önemli bir enfeksiyon vektörü, daha önceki WAV veya JPG şablonları yerine PNG görüntüleri yoluyla aşama 3 yükünün steganografik olarak verilmesini içerir.
C2’sine bir WebSocket bağlantısı kurduktan sonra, gömülü ağ modülü, piksel verilerdeki sonraki aşamalı paketi kodlayan görünüşte zararsız bir PNG alır.
Yükleyici, paylaşılan bir sır bulmak için görüntü üstbilgisini işler, daha sonra Chacha20 şifre çözme ve ardından XS2B modüllerini çıkarmak için LZO dekompresyonu uygular.
Çekirdek deobfuscation rutinleri, önceki XOR şemasının yerini alan RC4 tabanlı bir algoritma kullanır ve mevcut IDA komut dosyalarının güncellenene kadar başarısız olmasını sağlar.
Örnek şifre çözme takma kodu:-
void rc4_decrypt(uint8_t *data, size_t len, uint8_t *key, size_t keylen) {
uint8_t S[256], i = 0, j = 0, tmp;
for (int k = 0; k < 256; k++) S[k] = k;
for (int k = 0; k < 256; k++) {
j = (j + S[k] + key[k % keylen]) & 0xFF;
tmp = S[k]; S[k] = S[j]; S[j] = tmp;
}
i = j = 0;
for (size_t k = 0; k < len; k++) {
i = (i + 1) & 0xFF;
j = (j + S[i]) & 0xFF;
tmp = S[i]; S[i] = S[j]; S[j] = tmp;
data[k] ^= S[(S[i] + S[j]) & 0xFF];
}
}PNG tabanlı steganografiye geçiş, karmaşık medya ayrıştırma ihtiyacını azaltır ve sıradan web trafiği kisvesi altında yük alımını basitleştirir.
Paketlendikten sonra, aşama 3 modülleri yapılandırılabilir bir listeden seçilen askıya alınmış meşru bir sürece yerleştirilir, daha sonra Stealer çekirdeğini kimlik bilgilerini, tarayıcı profillerini, kripto cüzdanlarını ve sistem parmak izlerini hasat etmek için enjekte eder.
Bu aerodinamik enfeksiyon zinciri ve esnek dağıtım seçenekleri sayesinde Rhadamanthys, savunuculara meydan okumaya devam ediyor ve geleneksel yürütülebilir eklerin yanı sıra özel görüntü tabanlı yükleri izlemenin öneminin altını çiziyor.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X'te takip edin- CSN'yi Google'da tercih edilen bir kaynak olarak ayarlayın.
