Operation Endgame Quakes Rhadamanthys
关键要点
- Rhadamanthys 是一款自2022年以来观察到的著名恶意软件,被多个网络犯罪威胁行为者使用。
- 该恶意软件已被观察到通过电子邮件、网页注入和恶意广告活动进行传播。
- 它是一个模块化的信息窃取程序,提供多种定价方案,其创建者将其与Elysium Proxy Bot和Crypt服务捆绑销售。
- 作为正在进行的“终局之战”行动的一部分,国际执法部门破坏了Rhadamanthys及其附属机构的基础设施。
概述
Rhadamanthys恶意软件随着时间的推移已显著演变,反映了网络犯罪技术的持续进步。自2022年首次被观察到以来,Rhadamanthys作为一种复杂的信息窃取程序出现,主要目标是窃取用户的敏感数据,如登录凭据、财务信息和系统详细信息。它在地下论坛上迅速流行起来,其功能和易于定制性吸引了各种网络犯罪分子。
在其发展过程中,Rhadamanthys的更新引入了新功能,改进了其规避策略和适应性。更新通常使其能够更有效地避免安全检测控制,通常通过涉及混淆和反分析的技术。恶意软件作者引入了多阶段载荷,这使得恶意软件能够通过分阶段进行来绕过安全层。此外,它变得更加模块化,允许威胁行为者根据特定攻击或目标定制功能。
运营商以每月300至500美元的价格出售对Rhadamanthys的访问权限,并提供更高价格的定制选项。值得注意的是,一些网络犯罪论坛禁止销售Rhadamanthys,因为它允许针对俄罗斯和独联体国家。
Proofpoint观察到,多个威胁行为者通过电子邮件活动传播Rhadamanthys。有效载荷投递技术包括利用ClickFix社会工程技术,将URL与激进过滤结合,并指示人们复制、粘贴并运行PowerShell脚本来感染恶意软件。包括TA585、TA2541、TA547、TA571、TA866以及众多未归因的威胁集群在内的威胁行为者都在活动中使用了Rhadamanthys。
图 1. Rhadamanthys活动时间线。
“终局之战”行动
2025年11月13日,执法部门破坏了Rhadamanthys的基础设施——特别是接管了与该恶意软件管理和运营相关的多个服务器——以及使用该恶意软件的附属机构相关的基础设施。此次破坏是“终局之战”行动的一部分,该行动是全球执法机构和私营部门合作伙伴之间的合作。其他服务如Elysium Proxy Bot也受到影响。值得注意的是,执法部门还在该行动的主网站上发布了一段视频,暗示Rhadamanthys背后的威胁行为者不仅协助信息窃取操作,还窃取Rhadamanthys附属机构的敏感数据。除了基础设施破坏,此次行动还可能损害犯罪分子的声誉,导致附属机构对他们产生不信任。
“终局之战”是全球执法机构和私营部门合作伙伴(包括Proofpoint)进行的一项广泛努力,旨在破坏恶意软件和僵尸网络基础设施,并识别据称与这些活动相关的个人。2024年5月,第一次“终局之战”破坏行动针对多个恶意软件家族,包括IcedID、Bumblebee、SystemBC、Pikabot、SmokeLoader等,欧洲刑警组织称其为“有史以来针对在勒索软件部署中扮演重要角色的僵尸网络的最大规模行动”。第二次重大“终局之战”行动发生在2025年5月,目标是其他恶意软件家族及其创建者,包括DanaBot、WarmCookie、Trickbot和Hijack Loader。主要的恶意软件即服务Lumma Stealer也曾是执法部门的目标。
“终局之战”的破坏行动已显著影响了整体的电子邮件威胁格局,特别是破坏了已知初始访问代理(IAB)有效载荷和相关通过电子邮件活动传播的恶意软件家族的活动。例如,2023年3月,Proofpoint数据中17%的基于电子邮件的恶意软件活动与“终局之战”针对的恶意软件相关,而到2025年9月,这一数字已降至1%。
历史
当Rhadamanthys在2022年首次出现时,它是由别名“kingcrete2022”在地下论坛上销售的商业营销信息窃取程序。它迅速从简单的恶意软件演变为模块化的恶意软件即服务(MaaS)产品,因为开发人员添加了插件和分阶段加载器架构,使分析和检测变得更加困难。早期开发进入了快速发布的节奏。
到2024年,该恶意软件进行了一次值得注意的更新,增加了人工智能驱动的OCR功能,能够自动从图像中识别和提取加密货币种子短语。此版本包括了新的规避和加密升级。运营商还为客户提供了新的便利功能,反映了威胁态势中的流行趋势,其中之一是使用MSI安装程序执行以帮助绕过安全检测。
从2024年底到2025年,研究人员注意到利用Rhadamanthys模块化特性定制攻击的活动有所增加,这些活动针对具有不同目标和复杂程度的威胁行为者。2025年,开发人员推出了新的0.9.X系列,强化了网络和打包混淆,扩展了设备和浏览器指纹识别,重新引入了用于隐藏有效载荷的PNG隐写术,并进行了营销变更。这些变化包括分级定价更新、增强功能以及品牌重塑。品牌重塑体现在一个现代化的网站上,强调更专业的MaaS商业模式、快速的功能增长、更有用的传播和货币化技术,以及使Rhadamanthys成为首选恶意软件的生态系统。
“终局之战”对许多知名加载程序和顶级恶意软件的取缔和破坏,为Rhadamanthys的崛起铺平了道路。有证据表明,该恶意软件由有能力的开发人员维护和改进。新版本与当前和备受追捧的资源及态势趋势相关,并以易于客户使用的方式交付。
图 2. 活动数据中的优先恶意软件以及“终局之战”行动的影响。
关联
作为一种MaaS,不同的附属机构可以授权使用该恶意软件,附加自定义插件,并独立运行活动。它在多个论坛上做广告,这意味着它并非仅限于受信任的附属机构群体,而是面向更广泛的市场。值得注意的是,创建者开发的恶意软件可供具有不同专业知识的威胁行为者使用。因此,Rhadamanthys在活动中被观察到从简单的压缩可执行文件附件到更复杂的活动,使用诸如Google广告、ClickFix、受感染网站以及优先威胁行为者更针对性的活动等传播技术。
威胁行为者
Proofpoint于2022年12月首次开始追踪Rhadamanthys,当时它在一次归因于优先网络犯罪威胁行为者TA571的活动中传播,后渗透活动归因于TA866。TA571曾使用独家以及更自由可用的恶意软件,但TA866历史上被观察到使用更独家且独特的恶意软件。这些行为者对Rhadamanthys的使用立即将其指定为需要追踪的优先恶意软件。
Proofpoint随后在2022年2月观察到能力较强的较低级别行为者TA2541使用Rhadamanthys,该行为者偏爱现成的RAT(远程访问木马)。2024年期间,使用复杂银行恶意软件和加载程序的优先威胁行为者TA547也利用了Rhadamanthys。2025年,新指定的行为者TA585(疑似通过恶意软件交付操作其整个攻击链)频繁使用Rhadamanthys。除了Proofpoint追踪的指定威胁行为者之外,该恶意软件还在Proofpoint数据中被大量未归因的活动集群使用,包括被第三方追踪为“Aggah”的威胁行为者,以及外部追踪到的通过其他媒介(如恶意广告或SEO中毒)传播恶意软件的其他威胁行为者。
从低级别行为者到复杂操作者,整个犯罪软件领域的行为者持续使用Rhadamanthys,这证明了该恶意软件作为产品的明显成功、其演变和规避努力以及运营商所采用的成功MaaS策略。
恶意软件
威胁行为者可能将Rhadamanthys作为唯一的恶意软件有效载荷、与其他恶意软件一起交付的伴随恶意软件或作为后续有效载荷进行分发。在Proofpoint的数据中,Rhadamanthys经常在由加载器分发的活动中使用。例如,我们看到以下加载器将Rhadamanthys作为后续有效载荷投放:
- SystemBC
- DarkGate
- GuLoader
- SmartLoader
- Resident Backdoor
- DoubleLoader
- DOILoader / Hijack Loader
- Latrodectus
- CastleLoader
- Amadey
Proofpoint研究人员还观察到Rhadamanthys在活动中作为其他恶意软件的伴随物交付,包括:
- Remcos
- zgRAT
- Screenshotter / AHK Bot
- BitRAT
- XWorm
- Lumma
- XLoader
在这些活动中,Rhadamanthys要么与其他有效载荷同时交付,要么是在向不同收件人投放多个有效载荷的更广泛活动中,分发给有限的目标集。
近期攻击链
Rhadamanthys目前由多个威胁行为者使用多种不同的攻击链进行分发。以下是Proofpoint研究人员近几个月观察到的一些最有趣的活动的小样本。
受感染网站
多个威胁集群利用受感染的网站分发Rhadamanthys。在电子邮件数据中,我们观察到这些消息是因为它们包含指向受感染网站的链接。尽管发件人和网站所有者可能都无意造成伤害,但网站已被恶意注入代码入侵。
在2025年10月观察到的一次活动中,该注入促使网站加载托管在攻击者操作的基础设施上的恶意脚本,该脚本随后加载了一个伪造的Cloudflare验证码。验证通过后,浏览器切换到全屏并显示虚假的安全更新诱饵。
图 3. Cloudflare 验证。
图 4. 虚假更新ClickFix指令。
此攻击链使用了一种称为"Clickfix"的技术,指示用户在运行框中复制并粘贴恶意命令。这样,攻击者基本上是在诱骗用户自行感染恶意软件。许多网页注入活动都使用这种技术。在这种情况下,如果命令被执行,将导致安装Rhadamanthys。
URL
通过电子邮件中的URL进行Rhadamanthys有效载荷投递也很常见。例如,Proofpoint在10月份发现了一次冒充物流公司的活动。消息中包含的URL指向一个网站,指示收件人签署表格并点击“提交”。然后,用户将被重定向到ClickFix着陆页。
图 5. 被冒充公司的带有虚假确认的着陆页。
图 6. ClickFix指令。
如果目标按照指示完成了ClickFix步骤,则会启动命令以下载tar归档文件并运行CastleLoader。观察到CastleLoader加载了DOILoader和Rhadamanthys。观察到DOILoader加载了zgRAT。
此活动与威胁行为者越来越多地针对地面运输行业以传播恶意软件或远程监控和管理(RMM)工具的趋势一致。
8月和9月另一个有趣的活动冒充YouTube,并针对娱乐和媒体行业的组织。消息中包含一个PDF,该PDF包含一个指向使用Lovable App构建的虚假“YouTube DMCA”主题网站的链接,并使用了ClickFix技术。
图 7. 由威胁行为者创建的虚假YouTube“版权申诉”网站。
该应用程序指示收件人输入他们的YouTube URL,检索任何已提交YouTube频道的实时元数据,并声称需要申诉。如果遵循了指示并且用户按照指示复制粘贴了PowerShell脚本,则它将执行一个HTA脚本。该HTA通过注册表更改启用了VBA宏,并通过COM在内存中构建了一个Excel工作簿,在无需用户交互的情况下静默打开它。该工作簿包含一个AutoOpen宏,该宏由拆分后的Base64字符串构建。该宏下载了一个包含shellcode的.bin文件,并通过经典shellcode注入(使用VirtualAlloc + RtlMoveMemory + CreateThread)到Excel进程中以在内存中运行Rhadamanthys。虽然宏包含32位和64位Office的逻辑,但它只下载并运行64位shellcode,因此在32位Excel上会崩溃。
从HTA到shellcode执行的载荷链很可能是使用商业工具包MacroPack Pro构建的,该工具包出售给红队和“道德黑客”。
影响
总的来说,对网络犯罪威胁行为者及其恶意软件的破坏会在整个生态系统中产生连锁反应。依赖Rhadamanthys的威胁行为者将不得不寻找新的恶意软件进行分发,并花费时间和金钱重新调整他们的攻击链。威胁行为者可能会转向更新的恶意软件,如Amatera Stealer、Monster V2或CastleRAT。但是,虽然可能在工具方面有其他选择,但破坏行动也会在犯罪生态系统中播下不信任的种子,并且在某些情况下,导致更严格的政策和对谁能从某些经纪人处购买恶意软件的更紧控制。
Proofpoint将继续关注Rhadamanthys威胁行为者的下一步动向,并继续防御网络犯罪威胁。
结论
随着执法部门的破坏行动持续改变威胁行为者的行为,了解来自著名网络犯罪威胁行为者的新趋势和行为非常重要,例如使用远程监控和管理软件(RMM)、信息窃取程序使用的增加,以及针对人而非技术的新社会工程技术。通过了解威胁态势,组织可以针对新趋势实施防御措施,并预测威胁行为者将做出哪些决策以保持领先。
Proofpoint的使命是为我们的客户提供最佳的人本保护,抵御高级威胁。在可能且适当的情况下,例如在“终局之战”行动中,Proofpoint利用其团队的知识和技能来帮助保护更广泛的受众免受广泛的恶意软件威胁。Proofpoint很自豪能够协助执法部门调查Rhadamanthys活动。
凭借其独特的视角,Proofpoint能够识别最大、最具影响力的恶意软件分发活动,为当局提供关于社会最大威胁、影响全球最多人口的急需见解。
Proofpoint威胁研究团队感谢Pim Trouerbach在调查Rhadamanthys和相关恶意软件方面的合作。
Emerging Threats 签名
| 签名ID | 描述 |
|---|---|
| 2864521 | Rhadamanthys CnC Domain in DNS Lookup |
| 2864523 | Observed Rhadamanthys CnC Domain in TLS SNI |
| 2864294 | Observed Malicious SSL Cert (Rhadamanthys) |
| 2862244 | Observed Malicious SSL Cert (Rhadamanthys) |
| 2862245 | Observed Malicious SSL Cert (Rhadamanthys) |
| 2054665 | Win32/Rhadamanthys CnC Activity (GET) |
| 2854802 | Suspected Rhadamanthys Related SSL Cert |
| 2043202 | Rhadamanthys Stealer - Payload Download Request |
| 2853001 | Rhadamanthys Stealer - Payload Response |
| 2853002 | Rhadamanthys Stealer - Data Exfil |
示例入侵指标
| 指标 | 描述 | 首次出现 |
|---|---|---|
| 13f0bf908679bea560806fd3c14ef581b3cadbab2ff07a6adf04d97995924707 | shielders.msi SHA256 |
2025年8月25日 |
| b0c9d619256fdf220fbb39945fac5a040b5e836f1eae0459b4fcbf2b451420a7 | DpiChrysler.exe SHA256 |
2025年8月25日 |
| hxxps://84[.]200[.]80[.]8/gateway/53c06hop.fp0g1 | Rhadamanthys C2 | 2025年8月25日 |
| security[.]flacergurad[.]com | 攻击者控制的中介域名 | 2025年8月25日 |
| security[.]flaegrudad[.]com | 攻击者控制的中介域名 | 2025年8月25日 |
| security[.]flaezguerad[.]com | 攻击者控制的中介域名 | 2025年8月25日 |
| security[.]flaezguered[.]com | 攻击者控制的中介域名 | 2025年8月25日 |
| security[.]flavregurads[.]com | 攻击者控制的中介域名 | 2025年8月25日 |
| security[.]flheregurend[.]com | 攻击者控制的中介域名 | 2025年8月25日 |
| security[.]flqaergwaard[.]com | 攻击者控制的中介域名 | 2025年8月25日 |
| security[.]flsaregursd[.]com | 攻击者控制的中介域名 | 2025年8月25日 |
| security[.]gueradflwre[.]com | 攻击者控制的中介域名 | 2025年8月25日 |
| theguardshield[.]com | 攻击者控制的中介域名 | 2025年8月25日 |
| flheregurend[.]com | 攻击者控制的中介域名 | 2025年8月25日 |
| flsaregursd[.]com | 攻击者控制的中介域名 | 2025年8月25日 |
| flaezguerad[.]com | 攻击者控制的中介域名 | 2025年8月25日 |
| flaezguered[.]com | 攻击者控制的中介域名 | 2025年8月25日 |
| flcreagurade[.]com | 攻击者控制的中介域名 | 2025年8月25日 |
| theguardshield[.]com | 攻击者控制的中介域名 | 2025年8月25日 |
| flnaresgurard[.]com | 攻击者控制的中介域名 | 2025年8月25日 |
| flaxergaurds[.]com | 攻击者控制的中介域名 | 2025年8月25日 |
| cloudwardena[.]com | 攻击者控制的中介域名 | 2025年8月25日 |
| flenieregurd[.]com | 攻击者控制的中介域名 | 2025年8月25日 |
| Budparbanjarnegara[.]com | ClickFix Payload Domain | 2025年8月25日 |
| hxxps://google[.]strike-submit[.]com/DMCA_Notice.hta | Payload URL | 2025年8月30日 |
| hxxps://google[.]strike-submit[.]com/DMCA_Notice[.]hta | ClickFix Payload URL | 2025年8月30日 |
| hxxps://google[.]strike-submit[.]com/agreeses[.]bin | ClickFix Payload URL | 2025年8月30日 |
| bc2508708feb0ccc652494f8e28620bd871a8b6e1d26c7cdd61ab070f2594bbc | ClickFix Payload SHA256 | 2025年8月30日 |
| ccdd8a6dc97eeba07e586f059eae7944dd767519f2c3b2233ff90d3dc4e8e3f0 | ClickFix Payload SHA256 | 2025年8月30日 |
| hxxps://85[.]192[.]61[.]140/gateway/h2u7sp2d[.]ab87a | Rhadamanthys C2 | 2025年8月30日 |
| hxxps://policy[.]video | Optional Initial Redirecror in PDFs | 2025年8月30日 |
| hxxps://support-review[.]org/ | Optional Initial Redirecror in PDFs | 2025年8月30日 |
| hxxps://appeal[.]strike-submit[.]com | ClickFix Landing Example | 2025年8月30日 |
| support-review[.]org | 攻击者控制的域名 | 2025年8月30日 |
| trust-review[.]org | 攻击者控制的域名 | 2025年8月30日 |
| compliance-review[.]org | 攻击者控制的域名 | 2025年8月30日 |
| channel-review[.]org | 攻击者控制的域名 | 2025年8月30日 |
| application-review[.]org | 攻击者控制的域名 | 2025年8月30日 |
| strike-submit[.]com | 攻击者控制的域名 | 2025年8月30日 |
| submit-appeal[.]com | 攻击者控制的域名 | 2025年8月30日 |
| policy[.]video | 攻击者控制的域名 | 2025年8月30日 |
| tdsworkout[.]com | Example Web Inject | 2025年10月20日 |
| 103[.]136[.]68[.]61 | Example Web Inject | 2025年10月20日 |
| cashorix[.]xyz | Web Inject Domain | 2025年10月20日 |
| xpoalswwkjddsljsy[.]com | Filtered Landing Page | 2025年10月20日 |
| galaxyswapper[.]pro | Filtered Landing Page | 2025年10月20日 |
| 193[.]24[.]211[.]233 | Filtered Landing Page | 2025年10月20日 |
| hxxp://141[.]0x62[.]80[.]175/kick[.]dat | ClickFix Payload (HTA) | 2025年10月20日 |
| 141[.]98[.]80[.]175 | ClickFix Payload (HTA) | 2025年10月20日 |
| ff14b28408121ebe4a5d0c2f14b9dc99e987e89b56392dc214481197d4815456 | ClickFix Payload (HTA) SHA256 | 2025年10月20日 |
| http://xoiiasdpsdoasdpojas[.]com/ | ClickFix Payload (PS1) | 2025年10月20日 |
| xoiiasdpsdoasdpojas[.]com | ClickFix HTA Payload (PS1) | 2025年10月20日 |
| 141[.]98[.]80[.]175 | ClickFix HTA Payload (PS1) | 2025年10月20日 |
| c9026ffc02f11204ac1eb1183376a5cee74f7897d948bdcd59c06f31de2671fa | ClickFix HTA Payload (PS1) SHA256 |
2025年10月20日 |
| 193[.]221[.]200[.]93 | Rhadamanthys C2 | 2025年10月20日 |