Wiesbaden, 13. November 2025 (JPD) – In einer international abgestimmten Aktion haben die Generalstaatsanwaltschaft Frankfurt am Main (Zentralstelle zur Bekämpfung der Internetkriminalität, ZIT) und das Bundeskriminalamt (BKA) zusammen mit Partnern aus mehreren Staaten die technische Infrastruktur des Info-Stealers Rhadamanthys und Teile der Infrastruktur der Remote‑Access‑Trojaner‑Familie VenomRAT erheblich geschädigt. Die Strafverfolgungsbehörden machten mehr als 1.000 täterseitig genutzte Server unschädlich, darunter über 180 in Deutschland, stellten kompromittierte Daten von über 650.000 Opfern sicher und sperrten täterseitige Kryptowerte in Höhe von mehr als 200 Millionen US‑Dollar.
Operation Endgame: Abschaltung von Rhadamanthys und Maßnahmen gegen VenomRAT
Die Maßnahmen erfolgten im Rahmen der sogenannten Operation Endgame und wurden mit Strafverfolgungsbehörden aus den Niederlanden, Frankreich, Dänemark, Belgien und den USA sowie mit Unterstützung aus Australien, Kanada, dem Vereinigten Königreich, Europol und Eurojust koordiniert. Ziel war die Abschaltung der von Tätern genutzten technischen Infrastruktur von Rhadamanthys, einem global verbreiteten Info‑Stealer, sowie die Einschränkung einer der weitverbreiteten Remote‑Access‑Trojaner‑Varianten. Im Zuge der Operation wurden elf Objekte durchsucht, davon eines in Deutschland; zudem erfolgte eine Festnahme in Griechenland.
Die Ermittler sichern nach eigenen Angaben kompromittierte Daten im hohen zweistelligen Millionenbereich und haben diese den betroffenen Nutzern über Informationsplattformen zum individuellen Abgleich zur Verfügung gestellt. Außerdem ließen die Behörden führende Kryptowährungsbörsen die Konten mit über 200 Millionen US‑Dollar sperren, um die Möglichkeit der Geldwäsche und Inverkehrsetzung illegaler Erlöse zu erschweren.
Die deutschen Ermittlungen richten sich nach Angaben der Behörden unter anderem gegen den Verdacht der Erpressung im besonders schweren Fall und wegen Mitgliedschaft in einer kriminellen Vereinigung im Ausland. Das BKA betonte, dass die Operation Endgame darauf abziele, Cyberkriminellen Infrastruktur und Finanzmittel zu entziehen und so das Geschäftsmodell der Täter nachhaltig zu schwächen.
ZIT‑Leiter Oberstaatsanwalt Dr. Benjamin Krause hob die Bedeutung der internationalen Kooperation hervor: Die Operation kombiniere Identifizierung der Tatverdächtigen, Beschlagnahme digitaler Tatmittel und Abschöpfung digitaler Taterträge und werde fortlaufend an die Weiterentwicklungen der Täterseite angepasst. BKA‑Cybercrime‑Leiter Carsten Meywirth erklärte, die Strafverfolgung setze gezielt an der technischen und finanziellen Infrastruktur an und erhöhe damit das Risiko für Täter, identifiziert und verfolgt zu werden.
Die Behörden erläuterten, dass Stealer wie Rhadamanthys insbesondere Zugangsdaten und sensible Informationen automatisiert aus infizierten Systemen exfiltrieren und diese in kriminellen Märkten verkaufen, während Remote‑Access‑Trojaner Fernzugriffe auf kompromittierte Systeme ermöglichen. Beide Malware‑Klassen gelangen typischerweise über Phishing‑Mails, manipulierte Anhänge oder kompromittierte Webseiten auf Opferrechner und werden inzwischen vermehrt zur Bereitstellung von Ransomware eingesetzt.
Die zuständigen deutschen Ermittlungsbehörden kündigten an, die Operation Endgame fortzusetzen und auch weiterhin technische Infrastruktur, Akteure und Finanzströme im Blick zu behalten. Weitere Ermittlungsschritte und mögliche internationale Folgeaktionen seien Teil der fortlaufenden Strategie zur Bekämpfung organisierter Cyberkriminalität.