Pour sa saison 3, Endgame frappe Rhadamanthys, VenomRAT, et Elysium

La saison 3 de l’opération Endgame vient d’être officialisée. Dans un communiqué publié ce jeudi 13 novembre, Europol indique que « entre le 10 et le 14 [sic] novembre 2025, la dernière phase de l'opération Endgame a été coordonnée depuis le siège d'Europol à La Haye ».

Comme attendu, les actions de cette saison 3 ont visé le cleptogiciel Rhadamanthys, mais également « le cheval de Troie VenomRAT, et le botnet Elysium, qui ont tous joué un rôle clé dans la cybercriminalité internationale ». 

Concrètement, 1025 serveurs ont été démantelés et 20 noms de domaine saisis : « l'infrastructure malveillante démantelée comprenait des centaines de milliers d'ordinateurs infectés contenant plusieurs millions d'identifiants volés ».

Europol rappelle que « bon nombre des victimes [d’infostealer] n'avaient pas conscience que leur système était infecté. Le principal suspect derrière ce vol d'informations avait accès à plus de 100 000 portefeuilles cryptographiques appartenant à ces victimes, pour une valeur potentielle de plusieurs millions d'euros ».

11 lieux ont été perquisitionnés et une arrestation a été réalisée en Grèce. Selon Europol, elle concerne « le principal suspect pour VenomRAT ».

Le service HaveIbeenpwned a reçu quelques 2 millions d’adresses email d’individus dont les ordinateurs avaient été compromis, et 7,4 millions de mots de passe. De quoi permettre à chacun de vérifier s’il a été affecté à un moment ou un autre.

Toutefois, les données de Recorded Future suggèrent que ce jeu de données n’est exhaustif, loin de là. Dmitry Smilyanets relève au passage que Rhadmanthys a notamment touché des ressortissants russes, leur dérobant au moins 715 945 identifiants.

Rhadmanthys venait récemment de passer en version 0.9.2. Modulaire, il était proposé avec de multiples plugins et commercialisé entre 300 et 500 $ par mois, payables en crypto-pépettes. Une offre « entreprises » était également proposée, pour déploiement sur serveur dédié. Le botnet Elysium était commercialisé par les mêmes développeurs.

Selon diverses sources, des déploiements domestiques, sur serveur dédié, sont vraisemblablement encore actifs, même s’il est encore trop tôt pour en estimer le nombre et l’importance.

Le chercheur g0njxa fait en parallèle état de migrations vers des alternatives telles que StealC et Vidar, « ainsi que des plus récents tels qu’Aura » : « c’est probablement provoqué par les propos de l’administration de Rhadmanthys après que l’opération Endgame a été remarquée ».

Mais les forces de l’ordre impliquées dans l’opération ont désormais tourné leur attention vers les clients du cleptogiciel : « j'ai remarqué que le message direct envoyé ces derniers jours par [les forces de l’ordre] à certains clients, ainsi que les conseils de Rhadamanthys, ont incité certains propriétaires de panneaux à effacer des serveurs et des comptes, de sorte que le fonctionnement du logiciel malveillant a été momentanément interrompu à un moment donné, pour être remplacé par ces autres solutions », explique g0njxa.