执法行动“终局之战”重创信息窃密木马Rhadamanthys
关键要点
- Rhadamanthys是一款自2022年以来活跃的恶意软件,被多个网络犯罪威胁行为者使用。
- 该恶意软件被观察到通过电子邮件、网页注入和恶意广告活动进行分发。
- 它是一种模块化的信息窃取程序,提供多种定价方案,其创建者将其与Elysium代理僵尸网络和加密服务一同出售。
- 作为持续进行的“终局之战”行动的一部分,国际执法机构已破坏了Rhadamanthys及其附属组织的基础设施。
概述
Rhadamanthys恶意软件随着时间的推移发生了显著演变,反映了网络犯罪技术的持续进步。该恶意软件于2022年首次被观测到,是一种复杂的信息窃取程序,主要目标是窃取用户敏感数据,如登录凭据、财务信息和系统详情。它在地下论坛迅速流行起来,其强大的功能和易于定制性吸引了各种网络犯罪分子。
在其发展过程中,Rhadamanthys的更新包括了新功能,改进了其逃避检测策略和适应性。更新通常使其能够更有效地绕过安全检测控制,常用的技术包括混淆和反分析。恶意软件作者引入了多阶段有效载荷,使恶意软件能够通过分阶段部署来绕过安全层。此外,它变得更加模块化,允许威胁行为者根据特定攻击或目标定制功能。
运营商以每月300至500美元的价格出售Rhadamanthys的访问权限,并为定制用途提供更高价格的选项。值得注意的是,一些网络犯罪论坛禁止销售Rhadamanthys,因为它允许针对俄罗斯和独联体国家。
Proofpoint观察到多个威胁行为者通过电子邮件活动分发Rhadamanthys。有效载荷传递的技术包括利用ClickFix社会工程学技术,将URL与攻击性过滤以及指导人们复制、粘贴并运行PowerShell脚本以使自身感染恶意软件的说明相结合。包括TA585、TA2541、TA547、TA571、TA866在内的威胁行为者以及众多未归因的威胁集群都在活动中使用了Rhadamanthys。
“终局之战”行动
2025年11月13日,执法机构破坏了Rhadamanthys的基础设施——特别是与恶意软件管理和操作相关的多台服务器——以及使用该恶意软件的附属组织的基础设施。此次破坏是“终局之战”行动的一部分,该行动是国际执法机构和私营部门合作伙伴之间的协作。其他服务如Elysium代理僵尸网络也受到了影响。值得注意的是,执法机构还在该行动的主页上发布了一段视频,暗示Rhadamanthys背后的威胁行为者不仅协助信息窃取操作,还从Rhadamanthys附属组织那里窃取敏感数据。除了基础设施破坏外,此次行动可能还会损害犯罪分子的声誉,导致附属组织不再信任他们。
“终局之战”行动是由国际执法机构和私营部门合作伙伴(包括Proofpoint)进行的一项广泛努力,旨在破坏恶意软件和僵尸网络基础设施,并识别与活动相关的涉嫌人员。2024年5月,第一次“终局之战”破坏行动针对了包括IcedID、Bumblebee、SystemBC、Pikabot、SmokeLoader等在内的多个恶意软件家族,欧洲刑警组织称之为“针对僵尸网络的最大规模行动,而僵尸网络在勒索软件的部署中扮演着重要角色”。第二次重大的“终局之战”行动发生在2025年5月,针对了其他恶意软件家族及其创建者,包括DanaBot、WarmCookie、Trickbot和Hijack Loader。主要的恶意软件即服务Lumma Stealer也成为执法机构的目标。
“终局之战”的破坏行动显著影响了整体的电子邮件威胁态势,特别是破坏了已知的初始访问代理(IAB)有效载荷以及通过电子邮件活动分发的支持性恶意软件家族的活动。例如,2023年3月,Proofpoint数据中17%的基于电子邮件的恶意软件活动与“终局之战”针对的恶意软件相关,而到2025年9月,这一数字已降至1%。
历史
当Rhadamanthys于2022年首次出现时,它是一款通过地下论坛以别名“kingcrete2022”销售的商品化信息窃取程序。它迅速从简单的恶意软件演变为模块化的恶意软件即服务(MaaS)产品,因为开发者添加了插件和分阶段加载器架构,使分析和检测变得更加困难。早期开发后进入了快速发布的节奏。
到2024年,该恶意软件进行了一次显著的更新,增加了人工智能驱动的OCR功能,以自动从图像中识别和提取加密货币助记词。该版本包括了新的逃避检测和加密升级。运营商还为客户提供了反映威胁态势中流行趋势的新便利功能,其中之一是MSI安装程序执行,以帮助绕过安全检测。
从2024年底到2025年,研究人员注意到利用Rhadamanthys模块化特性来适应具有不同目标和复杂程度的威胁行为者的活动有所增加。2025年,开发者推出了新的0.9.X系列,加强了网络和打包混淆,扩展了设备和浏览器指纹识别,重新引入了用于隐藏有效载荷的PNG隐写术,并进行了营销变更。这些变更包括分层定价更新、增强功能和品牌重塑。品牌重塑体现在一个现代化的网站上,强调更专业的MaaS商业模式、快速的功能增长、更有用的分发和货币化技术,以及使Rhadamanthys成为首选恶意软件的生态系统。
“终局之战”对许多知名加载器和顶级恶意软件的取缔和破坏为Rhadamanthys的崛起铺平了市场。有证据表明,该恶意软件由能力强的开发者维护和改进。新版本的发布与当前和热门的资源及态势趋势相关,并以易于客户使用的方式交付。
关联性
作为MaaS,不同的附属组织可以许可该恶意软件,附加自定义插件,并独立运行活动。它在多个论坛上做广告,这意味着它并非专属于一组受信任的附属组织,而是面向更广泛的市场。值得注意的是,创建者开发的恶意软件可供不同专业水平的威胁行为者使用。因此,Rhadamanthys被观察到的活动形式多样,既有简单的压缩可执行文件附加到电子邮件中,也有更复杂的活动,使用Google Ads、ClickFix、被入侵网站等技术进行分发,以及优先威胁行为者更具针对性的活动。
威胁行为者
Proofpoint于2022年12月开始追踪Rhadamanthys,当时它在一个归因于优先网络犯罪威胁行为者TA571的活动中分发,事后利用活动归因于TA866。TA571曾使用过独家且更自由可用的恶意软件,而TA866历史上被观察到使用更独特和专属的恶意软件。这些行为者对Rhadamanthys的使用立即将其指定为需要追踪的优先恶意软件。
随后,Proofpoint观察到能力较强、层级较低且偏爱现成远程访问木马的威胁行为者TA2541于2022年2月使用了Rhadamanthys。曾使用过复杂银行恶意软件和加载器的优先威胁行为者TA547在整个2024年都在利用Rhadamanthys。疑似通过恶意软件交付操作整个攻击链的新指定行为者TA585在2025年频繁使用Rhadamanthys。除了Proofpoint追踪的指定威胁行为者外,该恶意软件还被Proofpoint数据中大量未归因的活动集群使用,包括被第三方追踪为“Aggah”的威胁行为者,以及通过恶意广告或搜索引擎优化投毒等其他媒介分发恶意软件的外部追踪的其他威胁行为者。
从低级别行为者到持续使用Rhadamanthys的复杂操作者,整个犯罪软件领域的参与者都使用了该恶意软件,这证明了该恶意软件作为一款产品的明显成功、其演进和逃避检测的努力,以及其运营商成功实施的MaaS策略。
恶意软件
威胁行为者可能将Rhadamanthys作为唯一的恶意软件有效载荷、与其他恶意软件一起分发的伴随恶意软件或后续有效载荷进行分发。在Proofpoint数据中,Rhadamanthys经常在由加载器分发的活动中使用。例如,我们观察到以下加载器将Rhadamanthys作为后续有效载荷投放:
- SystemBC
- DarkGate
- GuLoader
- SmartLoader
- Resident Backdoor
- DoubleLoader
- DOILoader / Hijack Loader
- Latrodectus
- CastleLoader
- Amadey
Proofpoint研究人员还观察到Rhadamanthys在活动中作为其他恶意软件的伴随物分发,包括:
- Remcos
- zgRAT
- Screenshotter / AHK Bot
- BitRAT
- XWorm
- Lumma
- XLoader
在这些活动中,Rhadamanthys要么与其他有效载荷同时交付,要么在向不同收件人投放多个有效载荷的更广泛活动中分发给有限的特定目标集。
近期攻击链
Rhadamanthys目前被多个威胁行为者使用许多不同的攻击链来分发。以下是Proofpoint研究人员最近几个月观察到的一些最有趣活动的小样本。
被入侵网站
多个威胁集群使用被入侵的网站来分发Rhadamanthys。在电子邮件数据中,我们观察到这些消息是因为它们包含指向被入侵网站的链接。尽管发送者和网站所有者可能都无意造成危害,但网站已被注入恶意代码。
在2025年10月观察到的一次活动中,注入提示网站加载一个托管在行为者操作基础设施上的恶意脚本,该脚本随后加载了一个假冒的Cloudflare验证页面。验证通过后,浏览器切换为全屏并显示一个虚假的安全更新诱饵。 该攻击链使用了一种称为“Clickfix”的技术,该技术指示用户在运行框中复制并粘贴恶意命令。通过这种方式,攻击者实质上是在诱骗用户自己感染恶意软件。许多网页注入活动都使用这种技术。在这种情况下,如果命令被运行,将导致安装Rhadamanthys。
URL
通过电子邮件中的URL进行Rhadamanthys有效载荷投递也很常见。例如,Proofpoint在10月识别出一个冒充物流公司的活动。消息中包含的URL会引导至一个网站,指示收件人签署表格并点击“提交”。然后,用户将被重定向到一个ClickFix登录页面。 如果目标按照指示完成了ClickFix步骤,则会启动一个命令以下载tar归档文件并运行CastleLoader。观察到CastleLoader加载了DOILoader和Rhadamanthys。观察到DOILoader加载了zgRAT。
此活动与威胁行为者针对地面运输行业以分发恶意软件或远程监控和管理(RMM)工具的增加趋势相符。
另一个有趣的活动发生在8月和9月,该活动冒充YouTube,并针对娱乐和媒体行业的组织。消息中包含一个PDF,其中包含一个链接,指向一个使用Lovable App构建的虚假“YouTube DMCA”主题网站,并使用了ClickFix技术。 该应用程序指示收件人输入其YouTube URL,获取任何提交的YouTube频道的实时元数据,并声称需要提出申诉。如果按照指示操作,用户复制并粘贴PowerShell脚本,它将执行一个HTA脚本。HTA通过注册表更改启用了VBA宏,并通过COM在内存中构建了一个Excel工作簿,并在没有用户交互的情况下静默打开它。该工作簿包含一个AutoOpen宏,该宏由HTA从分割的Base64字符串构建。此宏下载了一个包含shellcode的.bin文件,并通过经典shellcode注入(使用VirtualAlloc + RtlMoveMemory + CreateThread到Excel进程中)在内存中运行Rhadamanthys。虽然该宏包含了32位和64位Office的逻辑,但它只下载并运行64位shellcode,因此在32位Excel上会崩溃。
从HTA到shellcode执行的载荷链很可能是使用商业工具包MacroPack Pro构建的,该工具包出售给红队和“道德黑客”。
影响
总体而言,对网络犯罪威胁行为者及其恶意软件的破坏会在整个生态系统中产生连锁反应。依赖Rhadamanthys的威胁行为者将不得不寻找新的恶意软件进行分发,并花费时间和金钱重新调整其攻击链。威胁行为者可能会转向更新的恶意软件,如Amatera Stealer、Monster V2或CastleRAT。但虽然在工具方面可能存在其他选择,但破坏行动也会在犯罪生态系统中播下不信任的种子,并且在某些情况下,导致更严格的管控政策,限制谁能从某些经纪人处购买恶意软件。
Proofpoint将继续监控Rhadamanthys威胁行为者的下一步动向,并继续防御网络犯罪威胁。
结论
随着执法机构的破坏行动持续改变威胁行为者的行为,了解知名网络犯罪威胁行为者的新兴趋势和行为非常重要,例如使用远程监控和管理(RMM)软件、增加使用信息窃取程序,以及针对人员而非技术的新社会工程技术。通过了解威胁态势,组织可以针对新兴趋势实施防御措施,并预测威胁行为者为保持领先地位将做出的决策。
Proofpoint的使命是为客户提供最佳的人本防护,以应对高级威胁。只要可能且适当,例如在“终局之战”行动中,Proofpoint会利用其团队的知识和技能来帮助更广泛的受众抵御广泛的恶意软件威胁。Proofpoint很自豪能够协助执法机构调查Rhadamanthys活动。
凭借其独特的视角,Proofpoint能够识别最大和最具影响力的恶意软件分发活动,为当局提供关于社会最大威胁的急需见解,这些威胁影响着全球最多的人。
Proofpoint威胁研究团队感谢Pim Trouerbach在调查Rhadamanthys和相关恶意软件方面的合作。