rhadamanthys - RunkIntel

# Rhadamanthys > Tipo: **infostealer avancado MaaS** - [Check Point Research](https://research.checkpoint.com/2023/rhadamanthys-the-everything-bagel-infostealer/) > [!warning] Stealer com Ofuscação via Maquina Virtual Quake 3 > Rhadamanthys e um dos infostealers técnicamente mais sofisticados do mercado, distinguindo-se pelo uso de uma **maquina virtual baseada no motor Quake 3** para proteger seu código contra análise e engenharia reversa. Com mais de 30 módulos especializados e versoes que incluem IA para reconhecimento de carteiras de criptomoedas, o Rhadamanthys foi considerado um "top-tier" stealer pelo Check Point Research. Em novembro de 2025, sua infraestrutura foi parcialmente derrubada pela Operação Endgame. ## Visão Geral [[rhadamanthys|Rhadamanthys]] e um infostealer C++ de alto nivel lancado em setembro de 2022 em forums clandestinos e vendido como MaaS por $250/mes. O nome vem de Radamanto, juiz dos mortos na mitologia grega. O malware rapidamente ganhou reputacao como um dos stealers mais completos e técnicamente avancados do mercado, descrito pelo Check Point Research como "the everything bagel infostealer" por sua amplitude de funcionalidades. O diferencial tecnico central do Rhadamanthys e sua **ofuscação via maquina virtual Quake 3** - o malware usa o sistema de bytecode do jogo Quake 3 como camada de virtualizacao para proteger seu código principal, tornando a análise estática e engenharia reversa extremamente dificeis e demoradas. Isso e uma técnica avancada raramente vista em malware MaaS. Versoes posteriores incorporaram **módulo de IA** para reconhecimento de frases mnemônicas (seeds) de carteiras de criptomoedas em screenshots e documentos - o malware literalmente "le" imagens capturadas em busca de sequences de palavras que correspondam a frases-seed de carteiras. Outros módulos incluem coleta de credenciais de mais de 30 categorias de aplicativos, HVNC para acesso remoto, e módulo clipper para sequestro de enderecos de criptomoedas. Em novembro de 2025, a Operação Endgame europeia derrubou parte da infraestrutura do Rhadamanthys, mas variantes continuam em circulacao. **Plataformas:** Windows ## Como Funciona O Rhadamanthys opera em camadas com foco em profundidade de coleta e evasão avancada: 1. **Entrega:** Principalmente via malvertising (anuncios Google maliciosos que imitam software legitimo), spearphishing com links ([[t1566-002-spearphishing-link|T1566.002]]) e loaders como o Guloader 2. **Carregador protegido:** Binario inicial e um dropper que usa carregamento reflexivo ([[t1620-reflective-code-loading|T1620]]) para injetar o módulo principal na memoria sem escrever no disco 3. **VM Quake 3:** Módulo principal executado dentro da maquina virtual baseada em Quake 3 - bytecode personalizado que dificulta análise ([[t1027-obfuscated-files-or-information|T1027]]) 4. **Reconhecimento:** Fingerprinting do sistema ([[t1082-system-information-discovery|T1082]]), verificação de AV ([[t1518-001-security-software-discovery|T1518.001]]) e geofencing CIS ([[t1614-system-location-discovery|T1614]]) 5. **Harvest de browsers:** Credenciais e cookies de todos os browsers principais ([[t1555-003-credentials-from-web-browsers|T1555.003]], [[t1539-steal-web-session-cookie|T1539]]) 6. **Módulos especializados (30+):** Clientes FTP, VPN, email, gerenciadores de senha, aplicativos de gaming, carteiras crypto desktop e extensoes de browser 7. **IA para seeds:** Analisa screenshots e documentos capturados em busca de frases-seed de carteiras 8. **Screenshot e sistema:** Captura tela ([[t1113-screen-capture|T1113]]) e coleta arquivos por extensao 9. **Exfiltração:** Dados compactados e enviados via HTTP/HTTPS para C2 ([[t1041-exfiltration-over-c2-channel|T1041]]) ```mermaid graph TB A["Malvertising Google Software falso como Zoom / Teams"] --> B["Dropper inicial Reflective loading T1620"] B --> C["VM Quake 3 Bytecode ofuscado T1027"] C --> D["Reconhecimento T1082 + T1518 + T1614"] D --> E["Browser harvest T1555.003 + T1539"] E --> F["30+ módulos FTP / VPN / Gaming / Email"] F --> G["IA análise de seeds Screenshots com frases-seed"] G --> H["Crypto wallets Desktop e extensoes browser"] H --> I["Coleta de arquivos Documentos e chaves"] I --> J["Compressao e exfiltração T1041 - HTTP/HTTPS C2"] ``` ## Timeline de Eventos ```mermaid timeline title Rhadamanthys - Evolução e Disrupcao 2022-set : Lancamento em forums clandestinos : Vendido a $250/mes como MaaS premium 2023 : Check Point Research publica análise detalhada : Descrito como top-tier stealer 2023 : Versoes com IA para reconhecimento de seeds : 30+ módulos especializados disponiveis 2024 : Uso em campanhas de malvertising em escala : Adotado por Initial Access Brokers 2025-nov : Operação Endgame - derrubada parcial : Infraestrutura C2 principal comprometida 2025 : Variantes continuam em circulacao : Operadores reestruturam infraestrutura ``` ## Técnicas Utilizadas | Técnica | Descrição | |---------|-----------| | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Credenciais de todos os browsers principais | | [[t1539-steal-web-session-cookie\|T1539]] | Cookies de sessao e tokens OAuth | | [[t1082-system-information-discovery\|T1082]] | Fingerprinting detalhado do sistema | | [[t1005-data-from-local-system\|T1005]] | Coleta 30+ categorias de dados locais | | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração via HTTP/HTTPS comprimido | | [[t1027-obfuscated-files-or-information\|T1027]] | VM Quake 3 para ofuscação de código | | [[t1140-deobfuscatedecode-files-or-information\|T1140]] | Deofusca bytecode VM em runtime | | [[t1620-reflective-code-loading\|T1620]] | Carregamento reflexivo na memoria | | [[t1566-002-spearphishing-link\|T1566.002]] | Links maliciosos em anuncios Google falsos | | [[t1614-system-location-discovery\|T1614]] | Geofencing - evita sistemas CIS | | [[t1518-001-security-software-discovery\|T1518.001]] | Detecta AV e ferramentas de segurança | | [[t1113-screen-capture\|T1113]] | Screenshots analisados por IA para seeds | ## Grupos que Usam Vendido como MaaS - operadores anonimos em forums clandestinos. Frequentemente usado por: - Initial Access Brokers que vendem acesso a redes corporativas - Grupos focados em roubo de criptomoedas e carteiras digitais - Campanhas de malvertising de alto volume via Google Ads comprometidos ## Impacto no Brasil e LATAM O vetor de entrega via malvertising no Google e especialmente relevante para o Brasil: usuarios que buscam downloads de softwares como Zoom, Teams, Adobe Acrobat ou ferramentas similares no Google podem ser direcionados a anuncios maliciosos que distribuem o Rhadamanthys. Este vetor e agnóstico de regiao e afeta qualquer usuario que use o Google para encontrar software. O módulo de IA para reconhecimento de frases-seed em screenshots e documentos representa um risco específico para investidores em criptomoedas brasileiros que armazenam suas seeds em formato digital. O mercado cripto brasileiro e um dos mais ativos da LATAM, tornando usuarios desse segmento alvos de alto valor. A disrupcao parcial pela Operação Endgame em novembro de 2025 reduziu - mas nao eliminou - a ameaça do Rhadamanthys. > [!danger] Malvertising via Google Ads > O Rhadamanthys usa frequentemente anuncios Google patrocinados que imitam software legitimo. Implemente politica de uso de fontes oficiais para download de software e bloqueio de anuncios em endpoints corporativos. ## Detecção - Monitorar execução de binarios baixados de anuncios Google (via referrer HTTP) por processos de browser - Detectar reflective DLL loading - processos sem correspondencia em arquivo em disco - Alertar para acesso em massa a dados de browser por processos nao-browser - Implementar bloqueio de anuncios (uBlock) em browsers corporativos como policy - Usar EDR com capacidade de detectar execução de bytecode VM nao-padrao - Regras de detecção: consultar [[m1021-restrict-web-based-content|M1021 - Restringir Conteudo Web]] e [[m1038-execution-prevention|M1038 - Prevenção de Execução]] ## Referências - [Check Point Research - Rhadamanthys: The Everything Bagel (2023)](https://research.checkpoint.com/2023/rhadamanthys-the-everything-bagel-infostealer/) - [Recorded Future - Rhadamanthys MaaS Profile](https://www.recordedfuture.com/blog/rhadamanthys-infostealer) - [ANY.RUN - Rhadamanthys Malware Trends](https://any.run/malware-trends/rhadamanthys) - [CISA - Operation Endgame Takedown (Nov 2025)](https://www.cisa.gov/news-events/news/operation-endgame-disrupts-malware-dropper-ecosystems) - [Secureworks - Rhadamanthys Infostealer Technical Deep Dive](https://www.secureworks.com/blog/rhadamanthys-infostealer-technical-analysis)