Die Operation Endgame geht weiter. Nun beschlagnahmte die Polizei 250 Server, die für die Verbreitung von Malware u.v.m. zuständig waren.
Die Operation Endgame ging in die nächste Runde. Diesmal ist nicht nur eine einzelne Malware-Welle betroffen, sondern die gesamte Infrastruktur, die solche Kampagnen seit Jahren erst ermöglicht. In den Niederlanden wurden Tausende virtuelle Server beschlagnahmt, die in Rechenzentren in Den Haag und Zoetermeer verteilt waren. Laut den Ermittlern tauchten die Maschinen seit 2022 regelmäßig in unterschiedlichen Verfahren auf und bildeten das technische Rückgrat mehrerer Gruppen. Die Server nutzte man für Ransomware-Angriffe, Botnetze, Phishing-Kampagnen und sogar für die Verbreitung von kinderpornographischem Material.
Die Razzia reiht sich nahtlos in die bisherigen Endgame-Schritte ein. Zuvor lagen Loader, Stealer und Dropper im Fokus, die weltweit Systeme kompromittierten. Der neue Zugriff der Operation Endgame geht viel tiefer. Nicht der Code selbst steht im Zentrum, sondern die Umgebung, die ihn am Leben erhält.
CrazyRDP: Der Hoster hinter der Aktion
Der betroffene Dienst warb mit den in der Szene bekannten Versprechen. Keine Logs, keine Nachfragen, keine Kooperation mit den Behörden. Seit Jahren zieht genau diese Mischung ein bestimmtes Klientel an. Die Infrastruktur tauchte in über 80 Ermittlungen auf.
Offiziell nennen die Behörden keinen Namen. In der Szene gilt es dennoch als offenes Geheimnis, dass CrazyRDP erwischt wurde. Verschiedene Berichte verweisen auf die passenden Rechenzentren in Den Haag und Zoetermeer, die seit der Razzia nicht mehr erreichbar sind.
Neben den 250 physischen Maschinen liefen rund eintausend virtuelle Systeme, die mit einem Schlag nicht mehr erreichbar sind und aus dem Internet verschwanden.
Operation Endgame – eine vertraute Geschichte
Der Fall erinnert an den CyberBunker in Traben-Trarbach. Auch dort lebte man vom Mythos der Unangreifbarkeit, geschützt durch Beton, Stahl und eine gute Geschichte. Am Ende trugen Beamte die Server ganz normal aus dem Bunker und Gebäudekomplex. Der vermeintliche große Schutz hielt genau bis zu dem Moment, in dem jemand die Tür gewaltsam öffnete. Die Parallele ist unverkennbar. Die Versprechen sind die gleichen. Das Ergebnis am Ende ebenfalls.
Was hat sich verändert?
In den frühen Phasen der Operation Endgame wurden Malware-Familien wie Trickbot, Smokeloader oder IcedID angegriffen. Diese Ökosysteme funktionierten über Jahre hinweg zuverlässig, da sie auf stabile Hosting-Strukturen zurückgreifen konnten. Nun hat man genau die Stellen getroffen, die die Kriminellen nicht so schnell ersetzen können.
Ein Loader lässt sich neu kompilieren. Die Infrastruktur jedoch nicht. Ein Server steht an einem bestimmten Ort, läuft auf bestimmter Hardware und ist an ein Rechenzentrum angebunden. Genau dort setzen die Ermittlungen inzwischen an und treffen die Gruppen an Punkten, die sich kaum improvisieren lassen.
Was die Szene nun versucht
In Untergrundforen diskutiert man bereits über die üblichen Ausweichstrategien. Viele wollen auf verteilte VPS umsteigen. Andere Diskussionsteilnehmer setzen auf kurzlebige Markennamen ihrer Tools oder wechselnde Domains. Wieder andere verlagern Teile ihrer Infrastruktur ins Tor-Netwerk oder auf gehackte Cloud-Konten. Das ändert am Grundproblem jedoch wenig. Die Abhängigkeit von den Servern bleibt bestehen, nur die Verpackung wird unübersichtlicher.
Die Struktur hinter dem Bulletproof-Hosting
Bei vielen dieser Angebote wird über mehrere Ebenen gearbeitet. Ein offizieller Anbieter stellt Kapazitäten einem Reseller zur Verfügung, der sie wiederum an Untervermieter weiterreicht. Wer die Hardware tatsächlich kontrolliert, bleibt daher oft unbekannt. Für Ermittler reicht ein einziger Zugriff, um gleich die ganze Struktur zu zerstören.
An solchen Konstruktionen hängen auch RDP-Farmen, Spam-Relays, DDoS-Dienste und die Botnet-Infrastruktur. Eine Razzia trifft deshalb mehr als nur einen einzelnen Hosting-Dienst und viele unterschiedliche illegale Anbieter.
Bedeutung für die eigene Infrastruktur
Der Fall Operation Endgame zeigt, wie stark sich die Sichtweise auf technische Umgebungen verändert hat. Die Infrastruktur ist keine Randnotiz mehr. Sie ist ein fester Bestandteil jeder Analyse.
Ungewöhnliche Ports, ein merkwürdiger Datenfluss oder fehlende Transparenz fallen heute schneller auf als früher. Nicht, weil jemand etwas unterstellt, sondern weil Muster sichtbarer geworden sind.
Wer eigene Systeme betreibt, muss wissen, was darauf passiert. Mehr braucht es nicht. Saubere Konfigurationen, ein Blick auf den Datenverkehr und einige grundlegende Checks verhindern, dass ein Server ungewollt gekapert wird, was früher oder später zu Problemen führen wird.
Ich arbeite selbst mit mehreren kleinen VPS, der über Tailscale only verbunden ist. Das hat nichts mit Verstecken zu tun, sondern mit Verfügbarkeit. Ironischerweise ist das genau die Art von Redundanz, die bei so manchem „Bulletproof“-Anbieter und auch Malware-Teams nie vorhanden war.
Einordnung der Operation Endgame
Die Beschlagnahmung zeigt, in welche Richtung sich die Szene entwickelt. Die Ermittler arbeiten nicht mehr an der Oberfläche, sondern mitten im Fundament. Strukturen, die über Jahre als unantastbar galten, verschwinden jetzt innerhalb kurzer Zeit. Für die kriminellen Gruppen dahinter wird es zunehmend schwieriger, überhaupt noch stabile Umgebungen aufzubauen oder zuverlässige Webhoster zu finden.
Fazit der Operation Endgame
Die 250 beschlagnahmten Server stehen für mehr als nur eine weitere Razzia. Sie markieren eine Entwicklung, bei der die Infrastruktur zur eigentlichen Schwachstelle wird. „Bulletproof” klingt erstmal gut. Der Begriff hält aber selten auf Dauer, was er verspricht. Der Fall in den Niederlanden verdeutlicht, wie schnell ein ganzes Netzwerk zusammenbricht, wenn man die Stecker an der richtigen Stelle zieht. Natürlich gibt es noch immer unzählige aktive Bulletproof Hoster, doch die stehen überall verteilt in der Welt. Die kann die Polizei nicht mal eben hochnehmen.
