Rhadamanthys

Source : Europol – communiqué de presse (coordination depuis La Haye, 10–14 novembre 2025), dans le cadre de l’Operation Endgame contre les facilitateurs de ransomwares et d’autres cybercrimes. • Les autorités ont ciblé trois grands « enablers » cybercriminels : l’infostealer Rhadamanthys, le Remote Access Trojan (RAT) VenomRAT et le botnet Elysium. Une arrestation du principal suspect lié à VenomRAT a eu lieu en Grèce le 3 novembre 2025. Les actions ont été coordonnées par Europol et Eurojust, avec un poste de commandement à Europol. ...

Selon BleepingComputer (Lawrence Abrams), l’opération de malware-as-a-service Rhadamanthys subit une perturbation importante, avec de nombreux « clients » affirmant avoir perdu l’accès à leurs serveurs et panneaux web. Rhadamanthys est un infostealer qui dérobe des identifiants et cookies d’authentification depuis des navigateurs, clients mail et autres applications. Il est diffusé via des faux cracks logiciels, des vidéos YouTube et des publicités malveillantes dans les moteurs de recherche. Le service est proposé par abonnement, incluant support et panneau web pour collecter les données volées. ...

Red Canary publie son rapport de threat intelligence de septembre 2025, détaillant les menaces les plus observées dans les environnements clients et comparant plusieurs trojans similaires. 🔎 En tête, Tampered Chef apparaît comme un malware Electron/Node.JS qui traite du contenu stéganographié exécutant du code JavaScript arbitraire. Il se fait passer pour des applications de recettes ou de calendrier, avec une distribution via encarts/‍bannières publicitaires promouvant des outils de comptage de calories. Ses différenciateurs techniques clés incluent une architecture Electron Node.JS, des communications C2 basées sur la stéganographie, et une transition trompeuse de PUP vers malware. ...

Source : Check Point Research — Analyse technique d’actualité sur Rhadamanthys v0.9.2, un infostealer multi-modulaire en évolution, dérivé de Hidden Bee et désormais positionné comme une offre malware-as-a-service avec branding « RHAD security » et abonnements (299–499 $/mois). La version 0.9.2 montre une forte professionnalisation : mimétisme des messages d’avertissement anti-sandbox de Lumma, global mutex pour éviter les exécutions multiples, empreintes navigateur enrichies et ciblage élargi de portefeuilles de cryptomonnaies. Le modèle économique est affiné (paliers d’abonnement) et l’écosystème modularisé via des plugins Lua. ...