Objet: Opération ENDGAME de novembre 2025

Dans le cadre de l'opération de coopération judiciaire internationale ENDGAME lancée en mai 2024, de nouvelles actions de démantèlement ont été menées contre les infrastructures liées à des codes cybercriminels depuis la semaine du 3 novembre 2025.

Ces opérations ont impliqué les autorités allemandes, danoises, françaises, néerlandaises, américaines, australiennes et britanniques. Davantage d'informations sur l'opération sont disponibles dans les communiqués de l'OFAC, Europol et Eurojust. Dans le cadre de cette opération, l'ANSSI apporte son soutien pour l'identification et la notification des victimes et partage des recommandations de sécurité.

Les codes malveillants concernés (VenomRAT, Rhadamanthys et Elysium) peuvent servir de point d'entrée sur le système d'information des victimes pour exfiltrer des données et déployer d'autres codes malveillants comme des outils génériques offensifs et des rançongiciels. Pour cette raison, il est particulièrement important de procéder à des investigations complémentaires sur les SI dont une machine a été infectée, à la recherche de traces de latéralisation ou d'autres outils malveillants.

VenomRAT

Identifié en 2020, VenomRAT est un programme malveillant d'accès à distance (Remote Access Tool) vendu en tant que Malware-as-a-Service (MaaS) qui permet à un acteur malveillant d'obtenir un accès persistant à un système compromis.

VenomRAT se caractérise par sa fonctionnalité de loader. Il permet en effet depuis un serveur C2 de télécharger et exécuter des charges malveillantes supplémentaires sur le système compromis, par exemple un enregistreur de frappes.

VenomRAT est principalement diffusé via des campagnes d'hameçonnage ou de sites Internet malveillants imitant des sites légitimes comme, par exemple, la page officielle de téléchargement de l'antivirus Bitdefender pour Windows. En 2024, VenomRAT a également été distribué par le programme malveillant ScrubCrypt.

Références :

• Inside a VenomRAT Malware Campaign, Domaintools, 27/05/2025 ;

• RevengeHotels: a new wave of attacks leveraging LLMs and VenomRAT, Securelist, 16/09/2025 ;

• A Bag of RATs: VenomRAT vs. AsyncRAT, Rapid7, 21/11/2024 ;

• ScrubCrypt Deploys VenomRAT with an Arsenal of Plugins, Fortinet Blog, 08/04/2024 ;

• VenomRAT - new, hackforums grade, reincarnation of QuasarRAT, Malwarelab, 22/06/2020.

Rhadamanthys

Identifié pour la première fois fin 2022, Rhadamanthys est un infostealer, c'est-à-dire un code malveillant doté de capacités étendues de reconnaissance et de vols d'informations – relatives au système cible, cookies de navigation, identifiants ou portefeuilles de cryptomonnaies. Les données ainsi collectées peuvent être directement réutilisées pour mener des attaques informatiques ou être revendues à d'autres cybercriminels.

Ce programme modulaire est populaire sur les forums cybercriminels où il est massivement vendu en tant que MaaS. Activement maintenu par son opérateur, Rhadamanthys est régulièrement mis à jour afin d'améliorer sa furtivité au regard des évolutions des outils de détection.

Rhadamanthys est principalement diffusé au moyen de campagnes d'hameçonnage qui permettent de contourner les mesures de sécurité en exploitant la confiance de l'utilisateur dans des ressources d'apparence légitime. En 2025, il a notamment été déployé au travers de campagnes de faux CAPTCHA. Rhadamanthys a également été distribué par des programmes malveillants tiers comme SmokeLoader et Amadey Loader.

Références :

• Rhadamanthys 0.9.x -- walk through the updates, Checkpoint, 01/10/2025 ;

• Technical Analysis of Rhadamanthys Obfuscation Techniques, Zscaler, 21/02/2023 ;

• Rhadamanthys: The "Everything Bagel" Infostealer, Checkpoint, 27/03/2023.

Recommandations

Qualifier l’infection

Confirmer l'incident indiqué dans le signalement :

1. Identifier le système concerné (poste de travail ou serveur).
2. Vérifier que ce système était bien actif durant la période indiquée dans le signalement.
3. Confirmer la compromission du système. En cas de doute, le considérer compromis.

Évaluer la gravité de l'incident :

4. Évaluer le périmètre de l’incident :
   • le système compromis est-il interconnecté avec d'autres systèmes et avec plusieurs zones du système d'information ?
   • le système compromis héberge-t-il des identifiants disposant de privilèges suffisants pour permettre une propagation vers d’autres systèmes (par exemple, des comptes à privilèges élevés dans Active Directory) ?
5. Évaluer l’impact potentiel de l’incident :
   • quel serait l’impact opérationnel de la mise hors ligne du système compromis ?
   • quelles machines critiques pour les activités métiers pourraient être affectées par une compromission de ce système ?
6. Évaluer l'urgence à résoudre l'incident :
   • la compromission détectée est-elle récente et donc sujette à évolution, ou ancienne et stable ?
   • la compromission est-elle à risque de généralisation imminente (forte connectivité, atteinte à une fonction de sécurité) ?
7. Finalement, en prenant en compte le périmètre affecté, l’impact potentiel sur le fonctionnement de l’organisation et l’urgence à le résoudre, quelle est la gravité estimée de cet incident ?

S'aider d'une fiche réflexe d'aide à la qualification :

Pour qualifier l’incident de manière pertinente, s’appuyer sur la fiche réflexe Compromission système - Qualification.

Recherche de compromission

Utiliser les moyens de supervision du système d’information pour rechercher des flux inhabituels depuis la machine suspectée compromise :

1. Peut-on identifier des connexions de nature ou de destination Internet inhabituelles ?
2. Peut-on identifier des connexions internes depuis cette machine (réussies ou non) vers des services inhabituels ou rares (tentatives de montage réseau, scan, tentative de connexions RDP ou SSH, résolution DNS, ...) ?
3. Peut-on identifier des connexions internes depuis cette machine (réussies ou non) impliquant une utilisation inhabituelle de comptes ?
4. Peut-on identifier des indicateurs de compromission (IOC), des alertes de blocages de flux ou des alertes antivirales associées à la machine suspectée compromise ? Et associées à d'autres machines interconnectées avec celle-ci ?

Effectuer une recherche de compromission en profondeur :

5. Si le ou les comptes compromis étaient privilégiés, il convient de faire effectuer une recherche de compromission en profondeur sur l’ensemble du système d’information.
6. Si ce ou ces comptes disposaient de délégation de droits dans un annuaire Active Directory (AD), il convient de le ou les faire auditer. (L’ANSSI propose le service ADS à ses bénéficiaires qui permet de réaliser un audit de premier niveau de l’AD. Si vous n'en êtes pas déjà bénéficiaire, vous pouvez nous contacter par courriel à l'adresse club@ssi.gouv.fr).

Remédiation

Préserver les traces :

1. Conserver les preuves sur le système compromis, en exportant les journaux ou en réalisant un instantané de la machine virtuelle (si applicable).

Limiter l’extension de la compromission :

2. Interrompre l’activité de la machine compromise. (Si un dépôt de plainte ou des investigations sont envisagés, conserver la machine isolée du système d’information).
3. Isoler du reste du système d’information les zones potentiellement compromises.
4. Réinitialiser ou bloquer tous les comptes utilisés sur la machine compromise (comptes administrateurs, comptes de services, comptes à hauts privilèges divers, etc.).

Limiter l'impact métier :

5. Vérifier la présence de sauvegardes récentes des données accessibles depuis le système compromis et les mettre en sécurité.
6. Remplacez le système compromis par un système neuf ou réinstallé.

S'aider d'une fiche réflexe d'aide aux premières actions de remédiation :

Pour endiguer l’incident de manière pertinente, s’appuyer sur la fiche réflexe Fiche réflexe - Compromission système - Endiguement.

Durcissement de la posture de défense

1. Durcissement système : prévenir les exécutions depuis des répertoires inscriptibles par les utilisateurs tels que les répertoires temporaires et personnels (en utilisant des composants intégrés à Windows tels que AppLocker, SRP, WDAC, …).
2. Durcissement réseau : prévenir les communications directes entre postes de travail (via PVLAN, pare-feu local Windows, règles de VPN, …).
3. Supervision renforcée :
   • détecter les exécutions depuis les répertoires inscriptibles par l’utilisateur ;
   • s’assurer de la couverture de déploiement de l’antivirus et/ou de l’EDR, de sa mise à jour et de la remontée de ses alertes dans la console de supervision ;
   • porter une attention renforcée aux alertes EDR.