L’analisi e gli insight forniti dal team di ricerca di Proofpoint sul malware sono state un elemento rilevante per il successo della più grande operazione internazionale mai realizzata contro il cybercrime, che ha colpito le fondamenta di numerose famiglie di malware
Il Threat Research Team di Proofpoint, azienda leader nella cybersecurity e compliance, ha avuto un ruolo fondamentale nel successo di “Operation Endgame”, un’operazione di polizia senza precedenti, coordinata a livello globale contro le infrastrutture di dropper e botnet che da anni rappresentano una delle maggiori minacce per la sicurezza di aziende e utenti. Nel corso degli anni, l’attività ha portato allo smantellamento di infrastrutture critiche utilizzate da diverse famiglie di malware, tra cui Quakbot, IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee e, più di recente, l’info-stealer Rhadamanthys.
Guidata da un consorzio di forze dell’ordine internazionali, l’operazione ha rappresentato un colpo durissimo per l’ecosistema del cybercrime, neutralizzando le fondamenta tecniche ed economiche che consentivano a questi malware di operare su larga scala. Questi “dropper” sono spesso il primo stadio di attacchi ben più gravi, agendo come vettori per la distribuzione di ransomware, spyware e altri software pericolosi.
Un contributo decisivo all’interno di questa complessa operazione è stato fornito dal Threat Research Team di Proofpoint. Grazie a un monitoraggio costante e approfondito, i ricercatori di Proofpoint hanno monitorato per mesi le attività di diversi gruppi criminali specializzati nella distribuzione del malware Rhadamanthys, un “infostealer” progettato per esfiltrare con la massima efficacia credenziali di accesso, dati finanziari e altre informazioni sensibili dai sistemi compromessi.
Spiegano i ricercatori Proofpoint: “La profonda conoscenza delle tattiche, tecniche e procedure (TTP) utilizzate dai diversi gruppi criminali coinvolti nella distribuzione di Rhadamanthys ci ha permesso di fornire alle forze dell’ordine partner dell’operazione un quadro di intelligence dettagliato, tempestivo e direttamente utilizzabile. Queste informazioni si sono rivelate cruciali per mappare, identificare e infine smantellare l’infrastruttura alla base di questo malware.”
Il successo di “Operation Endgame” non solo interrompe le attività criminali in corso, ma riconferma il valore strategico della collaborazione proattiva tra le aziende di cybersecurity del settore privato e le forze dell’ordine a livello globale. L’expertise e la visibilità globale di Proofpoint sulle minacce continuano a essere una risorsa fondamentale per proteggere le organizzazioni e contribuire attivamente a rendere l’ecosistema digitale un luogo più sicuro per tutti.
Rhadamanthys, un information stealer sofisticato e pericoloso
Il malware Rhadamanthys si è evoluto in modo significativo nel tempo, riflettendo i continui progressi nelle tecniche dei cybercriminali. Osservato per la prima volta nel 2022, Rhadamanthys è emerso come un information stealer sofisticato, mirando principalmente a dati sensibili degli utenti come credenziali di accesso, informazioni finanziarie e dettagli di sistema. Ha rapidamente guadagnato popolarità nei forum clandestini, dove le sue capacità e la facilità di personalizzazione hanno attratto vari cybercriminali.
Nel corso del suo sviluppo, gli aggiornamenti di Rhadamanthys hanno incluso nuove funzionalità, migliorando tattiche di evasione e adattabilità. Gli aggiornamenti gli consentono spesso di eludere più efficacemente i controlli di sicurezza e di rilevamento, spesso attraverso tecniche che implicano offuscamento e anti-analisi. Gli autori del malware hanno introdotto payload multi-stage, che hanno permesso al malware di aggirare i livelli di sicurezza diffondendosi attraverso fasi in passaggi discreti. Inoltre, è diventato più modulare, consentendo agli attori delle minacce di adattare le funzionalità ad attacchi o obiettivi specifici.
Gli operatori vendono l’accesso a Rhadamanthys a un prezzo che varia dai 300 ai 500 dollari al mese, con opzioni più costose per usi personalizzati. In particolare, alcuni forum di cyber criminali ne hanno vietato la vendita perché permetteva di prendere di mira i paesi della Russia e della Comunità di Stati Indipendenti.
Le rilevazioni di Proofpoint hanno messo in luce come Rhadamanthys venga distribuito tramite campagne e-mail condotte da più attori di minacce. Le tecniche per la consegna del payload includono lo sfruttamento di quella di ingegneria sociale ClickFix e l’abbinamento di URL e filtri aggressivi con istruzioni che consigliano alle persone di copiare, incollare ed eseguire script di PowerShell per infettarsi con il malware. Diversi attori , tra cui TA585, TA2541, TA547, TA571, TA866 e numerosi cluster di minacce non attribuiti hanno utilizzato Rhadamanthys nelle loro attività.
Proofpoint ha osservato più campagne fino a oggi nel 2025, rispetto agli anni precedenti, in parte a causa del maggior numero di attori di minacce che sfruttano siti web compromessi per distribuire malware, incluso questo esemplare.
Per un’analisi tecnica completa e maggiori dettagli sul ruolo di Proofpoint in “Operation Endgame” e sul malware Rhadamanthys, è possibile consultare il blog dedicato a questo link: https://www.proofpoint.com/us/blog/threat-insight/operation-endgame-quakes-rhadamanthys
