Rhadamanthys

Source: Huntress (huntress.com). Contexte: les chercheurs Ben Folland et Anna Pham publient une analyse technique d’une campagne ClickFix multi-étapes observée depuis octobre 2025, où des leurres « Human Verification » et un faux écran « Windows Update » amènent les victimes à exécuter une commande malveillante, débouchant sur le déploiement d’infostealers (LummaC2, Rhadamanthys). • Chaîne d’exécution en 5 étapes 🧩 Étape 1 (mshta.exe): exécution d’un JScript depuis une URL (2e octet de l’IP en hex), qui lance PowerShell en mémoire. Étape 2 (PowerShell): charge et décrypte un assembly .NET (reflective load) après obfuscation/junk code. Étape 3 (loader .NET stéganographique): extrait une image PNG chiffrée AES depuis les ressources, puis récupère le shellcode caché dans les données de pixels (canal R) via un algorithme personnalisé (XOR 114 avec 255 - red), tout en déchiffrant configs/strings (clé AES 909cdc682e43492e, IV 01fe83e20bbe47f2). Étape 4 (injection): compilation dynamique de C# et injection de processus (VirtualAllocEx, CreateProcessA, WriteProcessMemory, CreateRemoteThread, etc.) dans explorer.exe. Étape 5 (Donut): le shellcode est packé Donut et charge la charge finale: LummaC2 (dans les cas initiaux) ou Rhadamanthys (pour le leurre Windows Update). • Leurre et techniques clés 🎭🖼️ ...

Source : Europol – communiqué de presse (coordination depuis La Haye, 10–14 novembre 2025), dans le cadre de l’Operation Endgame contre les facilitateurs de ransomwares et d’autres cybercrimes. • Les autorités ont ciblé trois grands « enablers » cybercriminels : l’infostealer Rhadamanthys, le Remote Access Trojan (RAT) VenomRAT et le botnet Elysium. Une arrestation du principal suspect lié à VenomRAT a eu lieu en Grèce le 3 novembre 2025. Les actions ont été coordonnées par Europol et Eurojust, avec un poste de commandement à Europol. ...

Selon BleepingComputer (Lawrence Abrams), l’opération de malware-as-a-service Rhadamanthys subit une perturbation importante, avec de nombreux « clients » affirmant avoir perdu l’accès à leurs serveurs et panneaux web. Rhadamanthys est un infostealer qui dérobe des identifiants et cookies d’authentification depuis des navigateurs, clients mail et autres applications. Il est diffusé via des faux cracks logiciels, des vidéos YouTube et des publicités malveillantes dans les moteurs de recherche. Le service est proposé par abonnement, incluant support et panneau web pour collecter les données volées. ...

Red Canary publie son rapport de threat intelligence de septembre 2025, détaillant les menaces les plus observées dans les environnements clients et comparant plusieurs trojans similaires. 🔎 En tête, Tampered Chef apparaît comme un malware Electron/Node.JS qui traite du contenu stéganographié exécutant du code JavaScript arbitraire. Il se fait passer pour des applications de recettes ou de calendrier, avec une distribution via encarts/‍bannières publicitaires promouvant des outils de comptage de calories. Ses différenciateurs techniques clés incluent une architecture Electron Node.JS, des communications C2 basées sur la stéganographie, et une transition trompeuse de PUP vers malware. ...

Source : Check Point Research — Analyse technique d’actualité sur Rhadamanthys v0.9.2, un infostealer multi-modulaire en évolution, dérivé de Hidden Bee et désormais positionné comme une offre malware-as-a-service avec branding « RHAD security » et abonnements (299–499 $/mois). La version 0.9.2 montre une forte professionnalisation : mimétisme des messages d’avertissement anti-sandbox de Lumma, global mutex pour éviter les exécutions multiples, empreintes navigateur enrichies et ciblage élargi de portefeuilles de cryptomonnaies. Le modèle économique est affiné (paliers d’abonnement) et l’écosystème modularisé via des plugins Lua. ...