Rhadamanthys infostealer, VenomRAT, and the Elysium botnet targeted in a major international law enforcement operation.

Law enforcement authorities from 9 countries have taken down 1,025 servers used by the Rhadamanthys infolstealer, VenomRAT, and Elysium botnet malware operations in the latest phase of Operation Endga...

The Rhadamanthys infostealer operation has been disrupted, with numerous "customers" of the malware-as-a-service reporting that they no longer have access to their servers.

Huntressのサイバーセキュリティ研究者は、ClickFixとして知られる欺瞞的な手法を利用し、被害者をだまして悪意あるコマンドを手動で実行させる高度な多段階マルウェア作戦を発見しました。 この新たなキャンペーンは、 LummaC2 や Rhadamanthys といった情報窃取型マルウェアを配布し、ステガノグラフィを用いて画像ファイル内に悪意あるコードを隠すことで、従来の検知システムを回避します。 ClickFixの誘導は通常、「人間による確認」や「Windows Update」の画面として表示され、ユーザーに Win+R と Ctrl+V を押すよう指示し、クリップボードにコピーされた悪意あるコマンドを貼り付けて実行させます。 そのコマンドは mshta.exe を起動し、攻撃者が管理するインフラ上にホストされたリモートの JScript ペイロードを取得します。このスクリプトは、復号して .NET アセンブリを読み込む追加の PowerShell コマンドを実行し、5段階の感染チェーンの開始を示します。 PowerShellスクリプトは解析を妨げるため、ジャンクコードで強く難読化されています。クリーンアップすると、.NETアセンブリをリフレクションで復号・読み込みしていることが確認できます。 このローダーは次に、高度なステガノグラフィアルゴリズムを用いて次のマルウェア段階を隠した埋め込みPNG画像を取得します。 単に悪意あるデータを追記するのではなく、攻撃者はシェルコードを画像のピクセルデータに直接エンコードし、実行時に画像のカラーチャネルを介して後から抽出します。 復号後、ローダーは explorer.exe への プロセスインジェクション を用いて、隠されたシェルコードを抽出して実行します。 ステガノグラフィで隠蔽されたペイロードは、.NETペイロードをメモリから直接実行できる既知のラッパーである Donutでパックされた シェルコード として特定されています。 最終段階のペイロードには、ブラウザデータ、認証情報、暗号資産ウォレット情報などを流出させる LummaC2 インフォスティーラーが含まれ、さらに最近では、同様の機能を持つモジュール型スティーラーである Rhadamanthys も含まれます。 最近のClickFixの亜種は、現実味のある「更新プログラムを処理しています」アニメーションを備えた偽のWindows Updateページを用いてユーザーを誘導します。 10月以降に観測されたこれらのインシデントは、IP 141.98.80[.]175 を指す複数のドメインに由来し、PowerShellローダーは securitysettings[.]live および xoiiasdpsdoasdpojas[.]com でホストされています。 セキュリティチームは、特にWindowsの「ファイル名を指定して実行」プロンプト経由でコマンドの実行を求めるシナリオにおいて、ソーシャルエンジニアリングの手口を見分けるためのユーザートレーニングも行うべきです。 explorer.exe が mshta.exe または PowerShell.exe のプロセスを生成している状況を監視することは、ClickFix感染の初期段階を特定するうえでさらに役立ちます。ステガノグラフィや多層暗号化が用いられているにもかかわらず、アナリストは、これらの攻撃が人間の操作という単純なベクターに依存していることを強調しています。 翻訳元:

A Silent Expansion of Infostealer Campaigns November 2025 marked a critical escalation in global infostealer activity, according to newly surfaced threat intelligence shared by Cybersecurity News Everyday. The report highlights how multiple infostealer families quietly expanded their reach by abusing everyday internet behaviors. Instead of relying on loud exploits or zero-day vulnerabilities, attackers focused on subtle deception. SEO-poisoned web content and trusted application abuse became the primary infection vectors, allowing malware to spread unnoticed across personal and enterprise systems.

Check Point Researchは、YouTube Ghost Networkを悪用してGachiLoaderを配布する高度なマルウェア配布キャンペーンを発見しました。GachiLoaderは新種で、強力に難読化されたNode.jsベースのローダーであり、無防備な被害者にRhadamanthysインフォスティーラーを配信するよう設計されています。 2024年12月に開始されたこのキャンペーンは、マルウェア配信戦術の大きな進化を示しており、示しているのは、脅威アクターが非伝統的なプログラミング言語やプラットフォームを用いて武器庫を適応させ続けているという点です。 このキャンペーンは、侵害された39のYouTubeアカウントから配信された100本以上の悪意ある動画に及び、開始以来およそ22万回の視聴を集めています。 動画はゲームチートの広告やクラック済みソフトウェアの提供を装って作られており、視聴者を誘導して、マルウェアのペイロードを含むパスワード保護されたアーカイブをダウンロードさせます。 侵害されたアカウントが悪意あるゲームチート広告の共有を開始。 Check Pointによる責任ある開示を受けて、ほとんどの動画はプラットフォームから削除されましたが、研究者は新たに侵害されたアカウントで新規アップロードが出現すると見ています。 技術アーキテクチャ GachiLoaderはnexeパッカーを用いて、60〜90MBの自己完結型実行ファイルとしてバンドルされています。nexeはNode.jsアプリケーションを、統合されたランタイム環境を備えたスタンドアロンのバイナリへとコンパイルします。 GachiLoaderはまず、稼働しているホストに関する情報（ウイルス対策製品やOSバージョンなど）を取得し、C2（Command and Control）アドレスの/logエンドポイントへPOSTリクエストで送信します。 リモートペイロードを読み込む最初のGachiLoader亜種。 この大きなファイルサイズは、被害者が正規のソフトウェアパッケージを想定するため、疑念を抱かれにくくします。JavaScriptのソースコードは強力に難読化されており、手動解析を困難にするとともに、マルウェアが検知システムを回避できるようにしています。 難読化されたNode.jsマルウェアがもたらす解析上の課題に対処するため、Check Point Researchは、マルウェアの挙動を動的に分析し、解析妨害メカニズムを回避し、手動での難読化解除作業を大幅に削減するオープンソースのNode.jsトレーサーツールを開発しました。このツールは現在、セキュリティ研究コミュニティで利用可能です。 GachiLoaderは、最小RAM（4GB）およびCPUコア数（2以上）のシステムリソースチェックに加え、サンドボックスで用いられるユーザー名、ホスト名、解析ツールとの比較など、包括的な解析妨害機能を実装しています。 .nodeファイルはNode.js向けのネイティブアドオンで、実質的にはDLLであり、dlopenを介してNode.jsコードから呼び出すことができます。そのため、Node-APIが十分な機能を公開していない場合に、開発者が利用できます。 JavaScriptコードへ関数を公開する。 このマルウェアは、Windows Management Instrumentationを介したPowerShellベースのシステム列挙を実行し、ポートコネクタ、ディスクドライブの製造元、ビデオコントローラを照会して、仮想マシン環境を特定します。 サンドボックス検知が発生すると、マルウェアは無害なWebサイトに対してHTTP GETリクエストを送信し続ける無限ループに入り、実行を事実上停止させます。 防御回避のため、GachiLoaderはWindows Defender のSecHealthUIプロセスを終了し、システムディレクトリおよびファイル拡張子に対して広範な除外設定を追加します。具体的には、後続ペイロードの検知を防ぐためにC:\Users、C:\ProgramData、C:\Windowsのパスを標的にします。 二重のペイロード配信メカニズム このキャンペーンは2つの運用亜種を用います。第1の亜種は、固有のX-Secretヘッダーを用いた認証付きHTTPリクエストにより、リモートのC2サーバーからペイロードを取得します。 このキャンペーンとは完全に無関係に、元のファイル名がHookPE.exeのファイルが見つかりました。これは、デバッグ出力付きの手法の64ビットPoC版であり、この手法を用いてcalc.exeをメモリ内にロードします。 同じ手法を用いたHookPE PoCプロジェクト。 第2の亜種は、これまで文書化されていなかった「Vectored Overloading」と呼ばれるPEインジェクション手法を実装する追加ローダーKidkadiを展開します。 解析したすべてのサンプルは最終的に、悪意あるC2インフラへユーザー情報を流出させるよう設計された認証情報窃取マルウェアであるRhadamanthysインフォスティーラーを配信しました。 この手法は、Vectored Exception Handlersを悪用してWindowsローダーの挙動を操作し、NtOpenSectionやNtMapViewOfSectionといったカーネル関数に対するハードウェアブレークポイントを用いて、正規DLLのセクションを悪意あるペイロードに置き換えます。 GachiLoaderのサンプルには、運用上の耐障害性のために複数の冗長なC2アドレスが含まれています。最終ペイロードは、KeePass.exeやGoogleDrive.exeなどの正規ソフトウェアを模倣したランダム名の実行ファイルとしてダウンロードされ、VMProtectやThemidaを含む商用パッカーで保護されています。 サンプルは、ペイロードおよびC2のローテーション戦略が頻繁に行われる、迅速な展開サイクルを示しています。 このキャンペーンは、非公式な配布チャネルを通じて無許可ソフトウェアを求めるユーザーを狙う持続的な脅威状況を示しており、エンドポイントセキュリティソリューションの必要性と、クラックソフトをダウンロードする危険性に関するユーザーの認識向上の重要性を改めて強調しています。 翻訳元:

A new malware campaign is spreading PyStoreRAT via fake GitHub repositories disguised as OSINT and AI tools, targeting developers to steal cryptocurrency wallets and other sensitive data.

🎯 Introduction: A Silent Collapse in the Malware Economy Just one month after an unprecedented international crackdown, the Rhadamanthys Malware-as-a-Service operation has effectively vanished from the cybercrime landscape. Once feared, widely adopted, and aggressively marketed across underground forums, Rhadamanthys now stands as a cautionary tale of how fast even the most sophisticated criminal platforms can crumble when law enforcement, intelligence agencies, and private cybersecurity firms align their efforts.

9か国の法執行機関は、サイバー犯罪を標的とする国際作戦「オペレーション・エンドゲーム」の最新フェーズにおいて、情報窃取マルウェアRhadamanthys、VenomRAT、そしてElysiumボットネットの運用に使われていた1,000台以上のサーバーを停止させました。 ユーロポールとユーロジャストが調整したこの共同作戦には、Cryptolaemus、Shadowserver、Spycloud、Cymru、Proofpoint、CrowdStrike、Lumen、Abuse.ch、HaveIBeenPwned、Spamhaus、DIVD、Bitdefender など複数の民間パートナーも協力しました。 2025年11月10日から14日にかけて、警察はドイツ、ギリシャ、オランダの11か所を家宅捜索し、20のドメインを押収、標的となったマルウェア運用に使われていた1,025台のサーバーを停止させました。 オペレーション・エンドゲームのこのフェーズでは、VenomRATリモートアクセス型トロイの木馬に関連する重要容疑者が、2025年11月3日にギリシャで逮捕されています。 「今回解体されたマルウェアインフラは、数十万台の感染コンピュータで構成されており、その中には数百万件の盗まれた認証情報が含まれていました」と、ユーロポールは木曜日のプレスリリースで述べています。 「多くの被害者は、自身のシステムが感染していることに気づいていませんでした。インフォスティーラーの主犯格は、被害者に属する10万件以上の暗号資産ウォレットにアクセスでき、その価値は数百万ユーロに上る可能性があります。」 ユーロポールはまた、これらのマルウェアにコンピュータが感染していないか確認するために、politie.nl/checkyourhack および haveibeenpwend.com を利用するよう助言しています。 本日の発表は、マルウェア・アズ・ア・サービスの顧客が自分たちのサーバーにアクセスできなくなったと述べていることから、Rhadamanthysインフォスティーラーの運用が妨害されたとする火曜日のBleepingComputerの報道を裏付けるものです。 Rhadamanthysの開発者もTelegramのメッセージで、EUのデータセンターにホストされていたウェブパネルが、サイバー犯罪者がアクセスを失う直前にドイツのIPアドレスからの接続を記録していたことから、この妨害の背後にはドイツの法執行機関がいると考えていると述べました。 Rhadamanthys開発者が顧客に警察の動きを警告（BleepingComputer） オペレーション・エンドゲームは、これまでに複数の撹乱作戦を実施しており、まずはIcedID、Bumblebee、Pikabot、Trickbot、SystemBC などさまざまなマルウェア運用に使われていた100台以上のサーバーを押収しました。 この共同作戦はさらに、ランサムウェアのインフラや、AVCheckサイト、Smokeloaderボットネットの顧客とサーバー、さらにDanaBot、IcedID、Pikabot、Trickbot、Smokeloader、Bumblebee、SystemBCといった、その他の主要なマルウェア運用も標的としています。 2024年4月には、ウクライナのサイバー警察が、ContiおよびLockBitランサムウェアの運用に協力し、そのマルウェアをアンチウイルスソフトで検出されないようにしていたとして、ロシア人の男をキーウで逮捕しました。 翻訳元:

Cybercriminals are shifting to hiding malware in PNG images using steganography, bypassing Microsoft's recent block on SVG files in Outlook.