Operation Endgame: Europol zerschlägt weltweites Malware-Imperium

Strafverfolger aus elf Nationen haben diese Woche in einer konzertierten Aktion drei der gefährlichsten Malware-Operationen weltweit zerschlagen. Die von Europol koordinierte “Operation Endgame” richtete sich gegen den Rhadamanthys-Infostealer, den VenomRAT-Trojaner und das Elysium-Botnetz – und legte dabei über 1.000 Server still. Ein empfindlicher Schlag gegen die globale Cybercrime-Szene.

Die koordinierten Maßnahmen zwischen dem 10. und 14. November 2025 gelten als eine der bedeutendsten Zerschlagungen krimineller Cyber-Infrastrukturen der jüngeren Geschichte. Von der Europol-Zentrale aus gesteuert, brachte die Operation Behörden aus Australien, Belgien, Kanada, Dänemark, Frankreich, Deutschland, Griechenland, Litauen, den Niederlanden, Großbritannien und den USA zusammen. Das Ergebnis: Die digitale Lebensader dieser kriminellen Netzwerke wurde durchtrennt – Netzwerke, die Millionen von Zugangsdaten, Finanzdaten und persönlichen Informationen gestohlen hatten, um damit Folgeattacken von Betrug bis Ransomware zu befeuern.

Der Erfolg von Operation Endgame basierte auf einer beispiellosen internationalen Zusammenarbeit zwischen Strafverfolgern, Justiz und privaten Cybersicherheitsfirmen. Über 100 Ermittler führten zeitgleich Maßnahmen in mehreren Ländern durch. Die Bilanz: 1.025 beschlagnahmte oder lahmgelegte Server und 20 konfiszierte Domains.

Übrigens: Viele Android-Nutzer übersehen grundlegende Schutzmaßnahmen – dabei nutzen Cyberkriminelle genau diese Lücken, um Daten und Zugangsdaten zu stehlen. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone mit leicht verständlichen Schritt-für-Schritt-Anleitungen zu Updates, App‑Prüfung, Berechtigungen, Backups und Multi‑Faktor‑Authentifizierung. Schützen Sie Ihre Kontakte, Online‑Banking- und Krypto‑Daten effektiv, bevor Malware zuschlägt. Gratis: Die 5 Schutzmaßnahmen für Ihr Android-Smartphone herunterladen

Hinzu kamen elf Durchsuchungen in Deutschland, Griechenland und den Niederlanden. Ein besonderer Coup: Die Festnahme des mutmaßlichen Hauptverantwortlichen hinter VenomRAT in Griechenland bereits am 3. November – noch vor Beginn der Hauptphase. Unterstützt wurde die Aktion von mehr als 30 Partnern aus der Privatwirtschaft, darunter Schwergewichte wie Proofpoint, CrowdStrike, Bitdefender und Spycloud. Sie halfen, die kriminelle Infrastruktur zu kartieren. Europol koordinierte den Informationsaustausch und lieferte Analysen, Krypto-Tracing und forensische Expertise.

Das Trio Infernale: Rhadamanthys, VenomRAT und Elysium

Die Ermittler nahmen drei unterschiedliche, aber eng vernetzte Bedrohungen ins Visier. Jedes Tool spielte eine Schlüsselrolle in der kriminellen Wertschöpfungskette – von der ersten Infektion bis zum dauerhaften Systemkompromiss und Datendiebstahl.

Rhadamanthys: Ein als “Malware-as-a-Service” (MaaS) vertriebener Infostealer, der in Untergrund-Foren gehandelt wurde. Das Programm extrahierte sensible Daten wie Browser-Zugangsdaten, Auto-Fill-Informationen, Cookies und Krypto-Wallets. Die Infrastruktur unterstützte ein großes Partnerprogramm, über das zahlreiche Kriminelle die Malware in Phishing- und Malvertising-Kampagnen einsetzten. Die Ermittler entdeckten, dass der Rhadamanthys-Betreiber unbefugten Zugriff auf über 100.000 Krypto-Wallets erlangt hatte. Am 12. November wurde die Abschaltung sichtbar: Die Kommando-Server im Tor-Netzwerk waren nicht mehr erreichbar.

VenomRAT: Ein mächtiger Remote-Access-Trojaner, mit dem Kriminelle Systeme kaperten. Nach der Installation konnten Angreifer Zugangsdaten stehlen, weitere Schadsoftware wie Ransomware nachladen und umfassende Überwachung der kompromittierten Rechner durchführen.

Elysium: Ein globales Botnetz, das als Malware-Verteilplattform fungierte. Es bot einen Pay-per-Install-Service, über den andere Cybercrime-Gruppen ihre Schadsoftware bequem auf einem riesigen Netzwerk infizierter Computer verbreiten konnten.

Millionen gestohlener Datensätze sichergestellt

Was auf den beschlagnahmten Servern lag, offenbarte das erschreckende Ausmaß: Mehrere Millionen gestohlene Zugangsdaten von Hunderttausenden infizierten Computern weltweit. Viele Opfer ahnten nicht einmal, dass ihre Systeme kompromittiert waren.

Die gestohlenen Informationen, in der Szene als “Logs” bekannt, sind auf Darknet-Marktplätzen heiße Ware. Cyberkriminelle kaufen diese Datensätze, um Finanzbetrügereien, Identitätsdiebstahl oder Wirtschaftsspionage zu betreiben. Besonders brisant: Infostealer wie Rhadamanthys sind oft der erste Schritt in der Ransomware-Angriffskette. Sie verschaffen den initialen Zugang zu Unternehmensnetzwerken. Die Behörden haben bereits öffentliche Aufklärungskampagnen gestartet und verweisen Betroffene auf Ressourcen wie “CheckYourHack”, um zu prüfen, ob ihre Daten kompromittiert wurden.

Strategiewechsel: Infrastruktur statt Einzeltäter

Operation Endgame markiert einen strategischen Wandel im globalen Kampf gegen Cyberkriminalität. Statt sich ausschließlich auf einzelne Täter zu konzentrieren, nehmen Ermittler zunehmend die Kern-Infrastruktur ins Visier – die Enabler, auf die das gesamte Ökosystem angewiesen ist. Durch die Zerschlagung von MaaS-Plattformen wie Rhadamanthys und Botnetzen wie Elysium können Tausende von Kleinkriminellen mit einem Schlag ausgebremst werden.

Dieser Ansatz ähnelt anderen erfolgreichen Takedowns, doch Umfang und öffentlich-private Partnerschaft von Endgame sind bemerkenswert. Die Beteiligung von über 30 privaten Unternehmen unterstreicht die entscheidende Rolle, die Bedrohungsdaten aus der Cybersicherheitsbranche beim Aufspüren und Kartieren dieser komplexen, global verteilten Netzwerke spielen. Dieses Kooperationsmodell ermöglicht schnelleres und entschlosseneres Handeln als je zuvor. Die öffentlichkeitswirksamen Elemente der Operation – etwa die direkte Kontaktaufnahme mit kriminellen Nutzern und die Bloßstellung der ausgefallenen Services auf einer dedizierten Website – setzen zusätzlich auf psychologische Wirkung: Das Vertrauen in der kriminellen Untergrundszene soll erschüttert werden.

Wie geht es weiter? Das Katz-und-Maus-Spiel läuft

Operation Endgame ist ein großer Erfolg – doch der Kampf gegen Infostealer-Netzwerke ist längst nicht vorbei. Die Betreiber solcher Services sind resilient und tauchen oft mit neuer Infrastruktur und umbenannter Malware wieder auf. Die dezentrale Natur von Malware-as-a-Service bedeutet, dass Entwickler und Partner über zahlreiche Jurisdiktionen verstreut sind. Festnahmen bleiben schwierig.

Europol hat explizit erklärt, dass “Endgame hier nicht endet” – ein Signal, dass diese Woche erst der Auftakt einer langfristigen Kampagne war. Die Ermittler werden jetzt die riesigen Datenmengen von den 1.025 beschlagnahmten Servern auswerten, um die kriminellen Partner zu identifizieren und zu verfolgen, die diese Dienste nutzten. Diese Daten werden wahrscheinlich monatelang weitere Ermittlungen und Verhaftungen befeuern. Für Unternehmen und Verbraucher bleibt die Operation eine eindringliche Erinnerung an die allgegenwärtige Bedrohung durch Infostealer-Malware – und an die unverzichtbare Bedeutung robuster Cybersicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung und wachsames Monitoring auf kompromittierte Zugangsdaten.

PS: Wenn Sie verhindern wollen, dass Angreifer über Apps oder veraltete Einstellungen an Ihre Zugangsdaten kommen, lohnt sich ein kurzer Sicherheits-Check. Fordern Sie den kostenlosen Ratgeber mit den 5 wichtigsten Schutzmaßnahmen für Android an und stellen Sie in wenigen Schritten sicher, dass Updates, Berechtigungen und Backups richtig konfiguriert sind. Jetzt kostenlosen Android-Sicherheitsratgeber sichern