九国联合行动摧毁千余台恶意软件服务器

在打击网络犯罪的国际行动“终局行动”的最新阶段中，来自9 个国家的执法机构已成功关闭了1,000 多台服务器。这些服务器用于运行Rhadamanthys 信息窃取恶意软件、VenomRAT 远程控制木马和Elysium 僵尸网络。

2025年11月10日至14日期间，警方在德国、希腊和荷兰的11个地点进行了突击搜查，查获了20个域名，并关闭了上述恶意软件使用的1,025个服务器。

这一阶段的“终局行动”还带来了一个关键进展：2025年11月3日，希腊警方逮捕了一名与VenomRAT远程控制木马相关的核心嫌疑人。

欧洲刑警组织在一份新闻稿中表示：“被破坏的恶意软件基础设施与数十万台受感染的计算机有关，并包含数百万份被盗的凭据。”

许多受害者并不知道他们的系统已受到损害。这种信息窃取恶意软件的主谋可以访问这些受害者的超过100,000 个加密货币钱包，可能价值数百万欧元。

欧洲刑警组织还建议公众通过“politie.nl/checkyourhack”和“haveibeenpwend.com”平台检查自己的计算机是否感染上述恶意软件。

拉达曼蒂斯暗网网站显示扣押通知

协助执法机构开展此次打击行动的Lumen 公司Black Lotus Labs 指出，Radamanthys 恶意软件活动自2023 年以来稳步扩张，尤其是2025 年10 月至11 月期间增长尤为显着。

据Lumen监测，该恶意软件日均活跃服务器数量达到300个，峰值数量在2025年10月达到535个。其中，美国、德国、英国和荷兰的服务器占Rhadamanthys所有命令与控制（C2）服务器的60%以上。

值得注意的是，超过60% 的Rhadamanthys C2 服务器未被VirusTotal 平台检测到。这种秘密行动最近导致受害者人数激增。 2025 年10 月，该恶意软件平均每天影响超过4,000 个唯一IP 地址。

黑莲花实验室监测数据

Rhadamanthys 的信息窃取恶意软件的运行已被中断，其“恶意软件即服务”模型的用户报告称他们无法再访问其服务器。

Rhadamanthys 的开发者也在Telegram 消息中表示，他们认为德国执法机构是这次打击行动的主导方。原因是欧盟数据中心部署的网络控制面板显示，在网络犯罪分子失去访问权限之前，德国IP 地址已连接。

“Operation Endgame”此前已进行多次攻击，已查获各类恶意软件使用的100多台服务器，涉及IcedID、Bumblebee、Pikabot、Trickbot和SystemBC等知名恶意软件家族。

该联合行动还针对勒索软件基础设施、AVCheck 网站、Smokeloader 僵尸网络的用户和服务器以及其他主要恶意软件操作（例如DanaBot、IcedID、Pikabot、Trickbot、Smokeloader、Bumblebee 和SystemBC）采取了执法措施。