Rhadamanthys: модульный MaaS-стиллер и влияние операции «Эндшпиль»
Rhadamanthys — сложное модульное вредоносное ПО, впервые выявленное в 2022 году, которое в основном функционирует как стиллер информации и нацелено на конфиденциальные данные — от учетных данных пользователей до финансовой информации. Его гибкость, настраиваемость и доступность на подпольных форумах сделали Rhadamanthys популярным инструментом в криминальном сообществе.
Краткая суть и распространение
Малварь продаётся на подпольных ресурсах под псевдонимом kingcrete2022 и доступна по модели MaaS (Malware-as-a-Service), что позволяет третьим лицам арендовать или покупать готовые сборки и плагины и вести операции независимо. Агентами распространения выступают различные филиалы и операторы, которые конфигурируют Rhadamanthys под собственные нужды.
Методы распространения, зафиксированные в отчёте, включают:
- кампании по электронной почте с ссылками на скомпрометированные сайты;
- поддельные веб-страницы для фишинга, маскирующиеся под легитимные сервисы (логистические компании, YouTube и т.д.);
- сценарии с использованием вредоносной рекламы (malvertising) и компрометации веб-ресурсов;
- внедрение как самостоятельной полезной нагрузки, так и совместное использование с другими семействами вредоносов в рамках комплексных кампаний.
Архитектура и экосистема злоумышленников
Rhadamanthys характеризуется модульной архитектурой и поддержкой плагинов, что обеспечивает быструю адаптацию под цели атакующих. В отчёте отмечено, что злоумышленник, связанный с Rhadamanthys, имеет пересечения с группой TA571, известной применением как специализированных, так и общедоступных инструментов. Другой актор — TA866 — проводит уникальные кампании, где также был зафиксирован Rhadamanthys.
Интеграция Rhadamanthys в деятельность этих акторов подчёркивает его приоритетный статус для отслеживания аналитиками по кибербезопасности.
Операция «Эндшпиль» — что произошло
13 ноября 2025 года международные правоохранительные органы провели операцию «Эндшпиль», в ходе которой были демонтированы ключевые серверы, управлявшие инфраструктурой Rhadamanthys. Операция затронула также смежные сервисы экосистемы, в том числе прокси-бот Elysium.
«Сбой направлен на создание недоверия и оперативных трудностей для вовлечённых преступников, вынуждая их адаптировать вредоносное ПО или отказаться от него».
Эффект операции двояк:
- краткосрочный — снижение доступности инфраструктуры и усложнение операций для действующих филиалов;
- долгосрочный — возможный переход операторов на альтернативные решения (например, Amatera Stealer или CastleRAT), а также рост внутриподпольного контроля и ужесточение мер по верификации поставщиков вредоноса.
Последствия для отрасли и советы по защите
Операция показала, что целенаправленные действия правоохранительных органов способны временно дезорганизовать крупные криминальные экосистемы. В то же время такие сбои часто сопровождаются адаптацией и миграцией операторов на другие инструменты и каналы распространения.
Ключевые выводы и рекомендации для организаций:
- усилить мониторинг фишинговых кампаний и скомпрометированных веб-страниц;
- внедрять многофакторную аутентификацию и регулярно проверять учетные данные на предмет утечек;
- контролировать и сегментировать доступы, чтобы минимизировать ущерб при компрометации конечных точек;
- отслеживать изменения на подпольных рынках и в поведении Threat Actors, включая появление альтернативных stealer-решений;
- поддерживать оперативные контакты с CERT/локальными правоохранительными органами и проводить учения по инцидент-реакции.
Что дальше
Rhadamanthys остаётся важным индикатором для наблюдения: его модульность и коммерческая доступность позволяют быстро распространять функциональные обновления через экосистему филиалов. Пока следственные и правоприменительные меры продолжают оказывать давление на инфраструктуру, организациям важно оставаться в проактивном состоянии — фиксировать малейшие отклонения в поведении конечных точек, оперативно реагировать на фишинговые инциденты и повышать уровень осведомлённости сотрудников о социальной инженерии.
Наблюдение за развитием событий в подполье, анализ смены инструментов (например, переход на Amatera Stealer или CastleRAT) и обновление средств детекции помогут снизить риск успешных атак в ближайшие месяцы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



