Familias de malware como Rhadamanthys Stealer, Venom RAT y la botnet Elysium han sido desmanteladas como parte de una operación policial coordinada dirigida por Europol y Eurojust.
La actividad, que tendrá lugar entre el 10 y el 13 de noviembre de 2025, marca la última fase de la Operación Endgame, una operación en curso diseñada para derribar infraestructuras criminales y combatir los habilitadores de ransomware en todo el mundo.
Además de desmantelar los «tres grandes facilitadores del cibercrimen», las autoridades también arrestaron al principal sospechoso detrás de Venom RAT en Grecia el 3 de noviembre, se derribaron más de 1.025 servidores y se incautaron 20 dominios.
«La infraestructura de malware desmantelada consistía en cientos de miles de ordenadores infectados que contenían varios millones de credenciales robadas», dijo Europol en un comunicado. «Muchas de las víctimas no eran conscientes de la infección de sus sistemas».
Actualmente no está claro si la botnet Elysium a la que se refiere Europol es el mismo servicio de botnet proxy que RHAD Security (también conocido como Mythical Origin Labs), el actor de amenazas asociado con Rhadamanthys, se observó publicitando el mes pasado.
Europol también señaló que el principal sospechoso detrás del robo de información tenía acceso a no menos de 100.000 carteras de criptomonedas pertenecientes a las víctimas, lo que podría ascender a millones de euros.
Un análisis reciente publicado por Check Point reveló que la última versión de Rhadamanthys agregó soporte para recopilar huellas digitales de dispositivos y navegadores web, además de incorporar varios mecanismos para pasar desapercibido.
«Es importante tener en cuenta que Rhadamanthys puede haber sido utilizado para colocar malware adicional en sistemas infectados, por lo que otras infecciones de malware también pueden estar activas en estos sistemas y requerir mayores esfuerzos de remediación local», dijo la Fundación Shadowserver. «Estos sistemas de víctimas también pueden haber sido utilizados en intrusiones e incidentes de ransomware históricos o recientes».
La organización sin fines de lucro, que ayudó en la acción de cumplimiento, dijo que se identificaron 525.303 infecciones únicas por Rhadamanthys Stealer entre marzo y noviembre de 2025 en 226 países y territorios, lo que representa más de 86,2 millones de «eventos de robo de información». De ellas, alrededor de 63.000 direcciones IP se encuentran en la India.
«La Operación Endgame 3.0 muestra lo que es posible cuando las fuerzas del orden y el sector privado trabajan juntos», dijo en un comunicado Adam Meyers, jefe de Operaciones Contra Adversarios de CrowdStrike. «Interrumpir la parte frontal de la cadena de destrucción del ransomware (los intermediarios de acceso inicial, los cargadores y los ladrones de información) en lugar de solo a los propios operadores tiene un efecto dominó en todo el ecosistema de eCrime».
«Al apuntar a la infraestructura que alimenta el ransomware, esta operación afectó a la economía del ransomware desde su origen. Pero la disrupción no es la erradicación. Los defensores deben utilizar esta ventana para reforzar sus entornos, cerrar las brechas de visibilidad y buscar la próxima ola de herramientas que estos adversarios desplegarán».
Las autoridades que participaron en el esfuerzo incluyeron organismos encargados de hacer cumplir la ley de Australia, Canadá, Dinamarca, Francia, Alemania, Grecia, Lituania, los Países Bajos y los Estados Unidos.
(Esta es una historia en desarrollo. Vuelva a consultarla para obtener más actualizaciones).