Operation Magnus (Operation Magnus) was een internationaal gecoördineerde actie tegen de infostealers RedLine en META, twee malwarevarianten die waren ontworpen om op grote schaal gevoelige gegevens van computers van slachtoffers te stelen. De Nederlandse politie maakte op 29 oktober 2024 bekend dat de technische infrastructuur van beide infostealers op 28 oktober 2024 was ontmanteld en dat Team Cybercrime Limburg daarbij een belangrijke bijdrage leverde. [politie.nl]

RedLine en META behoren volgens de Nederlandse politie tot de bekendste infostealers wereldwijd en hebben miljoenen slachtoffers gemaakt. De malware stal onder meer inloggegevens, financiële informatie, e-mails en systeeminformatie; de buitgemaakte data kon vervolgens worden verkocht of direct worden misbruikt voor identiteitsdiefstal, financiële fraude, hacking, cryptodiefstal of ransomware. [politie.nl]

Het DOJ omschreef RedLine als een van de meest voorkomende infostealers ter wereld en META als een nauw verwante infostealer. RedLine en META werden aangeboden volgens een malware-as-a-service-model. Volgens het DOJ konden afnemers een licentie kopen en vervolgens eigen infectiecampagnes uitvoeren om slachtoffers te besmetten. De verspreiding vond volgens het DOJ onder meer plaats via malvertising, phishingmails, frauduleuze softwaredownloads en malicious software sideloading. De malware werd daarnaast geadverteerd op cybercrimefora en via Telegram-kanalen waar ook klantondersteuning en updates werden aangeboden. Volgens het DOJ werden gestolen gegevens, aangeduid als “logs”, verkocht op cybercrimefora en gebruikt voor verdere fraude en hacks. [justice.gov]

Opsporing en aanpak

et onderzoek door Team Cybercrime Limburg begon na een tip van beveiligingsbedrijf ESET Nederland over servers in Nederland die verband hielden met malware. Het onderzoek werd ruim een jaar vóór de actiedag opgestart onder leiding van het Openbaar Ministerie Parket Limburg.

Door dit onderzoek kreeg Team Cybercrime Limburg zicht op de technische infrastructuur van de infostealers, de gebruikte communicatiekanalen en het volledige gebruikersbestand. Daarmee richtte de aanpak zich niet alleen op het offline halen van malware-infrastructuur, maar ook op het in kaart brengen van afnemers en de bredere handelsstructuur achter de infostealer-diensten. [politie.nl]

Internationaal werkten Nederland, de Verenigde Staten, het Verenigd Koninkrijk, België, Portugal en Australië samen binnen de Joint Cybercrime Action Taskforce (J-CAT), met ondersteuning van Europol en Eurojust. Het DOJ bevestigt eveneens dat Operation Magnus een J-CAT-operatie was, ondersteund door Europol, waarbij domeinen, servers en Telegram-accounts van RedLine- en META-beheerders werden aangepakt. [justice.gov]

Eurojust vermeldt dat de internationale samenwerking tussen autoriteiten uit Nederland, de Verenigde Staten, België, Portugal, het Verenigd Koninkrijk en Australië via Eurojust werd gecoördineerd, zodat informatie snel kon worden uitgewisseld en acties konden worden afgestemd. [eurojust.europa.eu]

Infrastructuur en inbeslagname

Tijdens Operation Magnus werd de infrastructuur achter RedLine en META verstoord. Volgens de Nederlandse politie werd daarbij een grote hoeveelheid data in beslag genomen en werden meerdere Telegram-accounts uit de lucht gehaald; RedLine en META werden via deze Telegram-groepen aan afnemers aangeboden. [politie.nl]

Eurojust specificeert dat tijdens de wereldwijde actie op 28 oktober 2024 drie servers in Nederland offline werden gehaald en twee domeinen in beslag werden genomen. De politie vermeldt dat de dataset uit Magnus later ook via Check je Hack doorzoekbaar is gemaakt. In het overzicht van doorzoekbare datasets staat “Oktober 2024 – Magnus”. [politie.nl/checkjehack]

Arrestaties en jurisprudentie

Bij de eerste bekendmaking meldde de Nederlandse politie dat Amerikaanse autoriteiten één beheerder in staat van beschuldiging hadden gesteld. Daarnaast werden door de Belgische politie twee personen aangehouden; één persoon was inmiddels vrijgelaten en de andere zat nog vast, waarbij het volgens de politie ging om een afnemer van de infostealer.

Eurojust bevestigt dat tijdens de operatie twee personen in België in hechtenis werden genomen en dat in de Verenigde Staten aanklachten werden vrijgegeven. Eurojust vermeldt ook dat onderzoeken naar criminelen die de gestolen data gebruikten, zouden worden voortgezet. [eurojust.europa.eu]

Het DOJ meldde op 29 oktober 2024 dat de Verenigde Staten een klacht hadden ingediend tegen een ontwikkelaar en administrator van RedLine en dat Amerikaanse opsporingsdiensten infrastructuur hadden aangepakt. In 2026 meldde het DOJ bovendien dat een Armeense verdachte, Hambardzum M., aan de Verenigde Staten was uitgeleverd op verdenking van betrokkenheid bij de ontwikkeling en administratie van RedLine; in hetzelfde bericht wordt ook verwezen naar de eerder vrijgegeven aanklacht tegen Maxim R. als vermeende ontwikkelaar en administrator van RedLine. [justice.gov], [justice.gov]