Prinz Eugen ist ein seit 2025 aktiver Einzeltäter (Solo-Operator), der 2026 öffentlich bekannt wurde. Auffällig ist ein deutschsprachiger Nexus – der Betreiber tritt unter dem Handle „ROOTBOY“ auf und nutzte in seinem Werkzeug das Passwort „germania“. Statt eines RaaS-Modells arbeitet er hands-on-keyboard, missbraucht Fernwartungs-Tools (RMM) und setzt einen in Go geschriebenen Verschlüsseler ein, der bevorzugt kürzlich geänderte Dateien angreift. Eine klassische Ransom-Note fehlt; die Erpressung erfolgt out-of-band durch direkte Kontaktaufnahme.
Aktiv
Solo-Operator (kein RaaS/keine Affiliates)
Prinz Eugen; Betreiber-Handle „ROOTBOY“ (zuvor „avtokz“)
Betreiber seit ca. Juli 2025 aktiv; öffentlich dokumentiert seit April 2026
Kein Rebrand bekannt; Einzeltäter mit Vorgeschichte auf Untergrundforen (XSS)
Mutmaßlich deutschsprachiger Betreiber (Herkunftsland unbestätigt; Namens- und Passwort-Nexus „germania“)
Branchenübergreifend; bislang zu wenige Fälle für ein klares Muster
Bisher wenige, international verteilte Opfer (u. a. Südafrika); Betreiber mutmaßlich deutschsprachig
Öffentlich nicht dokumentiert; Erpressung erfolgt individuell out-of-band
Bislang nur wenige öffentlich bekannte Opfer (Größenordnung Einzelfälle, Stand: Juli 2026)
Öffentlich nicht eindeutig dokumentiert
keine klassische Ransom-Note – Kontakt out-of-band
Sprache: Go. Besonderheit: priorisiert kürzlich geänderte Dateien, keine klassische Ransom-Note; im Werkzeug fand sich das Passwort „germania“ (deutschsprachiger Nexus). Zugang: über legitime RMM-Tools statt eigener Malware-Loader.
Das Cyber Defense Center erkennt den Missbrauch legitimer Fernwartungs-Tools und ungewöhnliche Verschlüsselungsaktivität; Argos Incident Response unterstützt bei Eindämmung und der direkten Erpressungskommunikation.