Uma das maiores ações policiais internacionais do ano, a Operation Endgame, acaba de mirar no coração do mercado de Malware-as-a-Service (MaaS). Entre 10 e 13 de novembro, uma ofensiva coordenada pela Europol e pela Eurojust derrubou a infraestrutura por trás de três grandes ferramentas do cibercrime: o Rhadamanthys Stealer, o Venom RAT e a Elysium botnet. Mais de 1.000 servidores foram tirados do ar, 20 domínios foram apreendidos e suspeitos foram presos, incluindo o principal operador do Venom RAT na Grécia.
Parece “mais uma operação contra malware”? Não é. O alvo principal, o Rhadamanthys, não era apenas um vírus agressivo, mas uma verdadeira marca premium no submundo digital, vendida como software por assinatura para outros criminosos. E é justamente isso que torna esta fase da Operation Endgame Rhadamanthys tão simbólica: a polícia não derrubou só servidores, derrubou um modelo de negócios.
O “SaaS do crime”: como o Rhadamanthys funcionava
O Rhadamanthys Stealer surgiu em 2022 como um infostealer “de nicho” e rapidamente virou estrela. Tecnicamente, ele é um malware modular capaz de roubar credenciais, cookies, histórico de navegador, arquivos sensíveis e até carteiras de criptomoedas, com técnicas avançadas como fingerprinting de dispositivo e uso de esteganografia em imagens PNG para esconder payloads.
Com o tempo, seus desenvolvedores profissionalizaram tudo. Abandonaram o anonimato típico de fóruns underground e passaram a se apresentar como “RHAD Security” e “Mythical Origin Labs”, com um site polido, vitrine de produtos, changelog, área de clientes e canais de suporte em Telegram e Tor, como se fossem uma startup de segurança “legítima”.
Nesse site, o Rhadamanthys aparecia lado a lado com outros itens do portfólio criminoso, como o Elysium Proxy Bot (botnet de proxy usada para anonimizar tráfego e ataques) e um Crypt Service (serviço de criptografia para empacotar outros malwares e burlar antivírus).
Em vez de vender um executável solto, os operadores do Rhadamanthys vendiam planos de assinatura, atualizados com novas versões (0.9.1, 0.9.2, 0.9.3) e mudanças que quebravam ferramentas de análise, em um ciclo de desenvolvimento contínuo. Na prática, era um verdadeiro produto de software criminal.
O modelo de negócio: malware por assinatura de US$ 299 a US$ 499/mês
Aqui está o “pulo do gato”. O Rhadamanthys operava abertamente no modelo Malware-as-a-Service (MaaS). Em vez de um grande grupo “exclusivo” usar o malware, qualquer criminoso com dinheiro podia virar “cliente”.
Segundo a análise da Check Point Research (CPR), os operadores vendiam o stealer em planos mensais:
- US$ 299/mês: versão self-hosted, em que o próprio criminoso cuida da infraestrutura;
- US$ 499/mês: pacote com servidor alugado, suporte prioritário e recursos extras no painel;
- Além disso, um plano Enterprise com preço negociado diretamente para grandes clientes.
Isso incluía painel web com autenticação em duas etapas, gerenciamento de usuários “afiliados”, webhooks, telemetria sobre vítimas e um fluxo de updates pensado para quebrar ferramentas de pesquisadores e manter o malware sempre um passo à frente de soluções de defesa. (Check Point Research)
Em outras palavras, pense no Rhadamanthys como um SaaS do crime: assinatura recorrente, roadmap de features, branding forte, marketing em fóruns e redes privadas, suporte ao “cliente” e um ecossistema de produtos complementares (como a própria Elysium botnet). A diferença é que, em vez de CRM ou ERP, o “serviço” entregava credenciais roubadas, acesso a carteiras de cripto e porta de entrada para outros ataques.
Operation Endgame Rhadamanthys: por que esta derrubada é tão importante
A Operation Endgame não começou agora. Desde 2024, a Europol vem coordenando ondas de operações contra botnets e droppers usados como infraestrutura para ataques de ransomware, derrubando servidores, apreendendo domínios e prendendo operadores em vários países. (Europol)
Esta nova fase, porém, ataca um ponto mais sensível: as grandes marcas do MaaS. De acordo com a Europol, a infraestrutura agora derrubada sustentava centenas de milhares de dispositivos infectados, com milhões de credenciais roubadas e acesso a pelo menos 100 mil carteiras de criptomoedas de vítimas, o que potencialmente envolve milhões de euros em prejuízos.
Na análise de Sergey Shykevich, gerente de pesquisas da Check Point Research (CPR), o contexto é claro: após a derrubada de outros infostealers de peso, como RedLine e Lumma, o Rhadamanthys tomou o espaço e se tornou um dos stealers mais dominantes e amplamente usados do submundo. Golpear essa “marca” é visto por ele como um passo crucial para desestabilizar o ecossistema de Malware-as-a-Service (MaaS), que hoje funciona quase como um mercado formal, cheio de produtos concorrentes, branding e fidelização de clientes.
Reação na Dark Web: o fim de uma “marca” ou um rebranding?
Nos fóruns da Dark Web, a queda do Rhadamanthys virou assunto imediato. De um lado, existem afiliados e compradores que acreditam em um retorno rápido, já que os operadores vinham testando a versão 0.9.3 pouco antes da operação policial. A leitura deles é simples: “se o código ainda existe e o desenvolvedor está solto, é questão de tempo até a marca voltar com outra infraestrutura”.
Do outro lado, há quem veja a Operation Endgame Rhadamanthys como um golpe definitivo na confiança em torno da marca. Em um mercado clandestino em que reputação é tudo, o simples fato de o nome “Rhadamanthys” estar agora atrelado a relatórios oficiais da Europol, comunicados de empresas de segurança e manchetes da imprensa global reduz o apelo comercial do produto. Afiliados passam a temer a visibilidade, e muitos migram para alternativas menos expostas.
Shykevich resume essa tensão ao apontar que o desenvolvedor do Rhadamanthys passou por altos e baixos nos últimos anos, sempre conseguindo se reerguer, e é provável que tente reativar a operação, possivelmente apoiado na versão 0.9.3. Mas isso não garante que a “marca” sobreviva, nem que os antigos clientes voltem com a mesma confiança.
E agora? O que muda para empresas e usuários comuns
É tentador ler a notícia e pensar: “ótimo, problema resolvido”. Infelizmente, não é assim que o cibercrime funciona. O vácuo deixado pelo Rhadamanthys tende a ser disputado por outros stealers e novos projetos MaaS. Mesmo com a operação em andamento, infecções antigas podem continuar ativas em máquinas que nunca foram limpas, e as credenciais já roubadas permanecem circulando em mercados clandestinos.
O que a Operation Endgame mostra, porém, é uma mudança importante na estratégia de combate ao cibercrime: em vez de mirar só nos operadores finais, autoridades estão atacando a cadeia de fornecimento do crime digital, especialmente os “fornecedores de serviços” como RHAD Security e suas ferramentas por assinatura. Isso aumenta o custo e o risco para quem tenta transformar malware em negócio recorrente.
Para empresas e usuários, a mensagem prática é direta:
- continuar reforçando autenticação em duas etapas,
- tratar alertas de login suspeito com seriedade,
- acompanhar vazamentos e exposições de credenciais,
- e investir em soluções de detecção capazes de identificar comportamentos típicos de infostealers e RATs como o Venom RAT.
A boa notícia é que, quando uma “plataforma dominante” cai, como o Rhadamanthys, milhares de campanhas maliciosas perdem sua base. A má notícia é que o mercado do crime não fica vazio por muito tempo.
