Familias de malware como Rhadamanthys Stealer, Venom RAT y la botnet Elysium han sido desmanteladas como parte de una operación policial coordinada dirigida por Europol y Eurojust.
La actividad, que tendrá emplazamiento entre el 10 y el 13 de noviembre de 2025, marca la última escalón de la Operación Endgame, una operación en curso diseñada para derribar infraestructuras criminales y combatir los habilitadores de ransomware en todo el mundo.
Por otra parte de desmantelar los “tres grandes facilitadores del cibercrimen”, las autoridades además arrestaron al principal sospechoso detrás de Venom RAT en Grecia el 3 de noviembre, se derribaron más de 1.025 servidores y se incautaron 20 dominios.
“La infraestructura de malware desmantelada consistía en cientos de miles de ordenadores infectados que contenían varios millones de credenciales robadas”, dijo Europol en un comunicado. “Muchas de las víctimas no eran conscientes de la infección de sus sistemas.”
Vale la pena señalar que la botnet Elysium neutralizada por las autoridades es el mismo servicio de botnet proxy que RHAD Security (además conocido como Mythical Origin Labs), el actor de amenazas asociado con Rhadamanthys, se observó anunciando el mes pasado.
Europol además señaló que el principal sospechoso detrás del robo de información tenía llegada a no menos de 100.000 carteras de criptomonedas pertenecientes a las víctimas, lo que podría ascender a millones de euros.
Un exploración flamante publicado por Check Point reveló que la última lectura de Rhadamanthys agregó soporte para compilar huellas digitales de dispositivos y navegadores web, por otra parte de incorporar varios mecanismos para acontecer desapercibido.
Rhadamanthys, según la empresa de ciberseguridad, se ofrecía bajo dos modelos pagos, una suscripción autohospedada y una suscripción con un servidor alquilado y beneficios adicionales. Se estima que el impacto de la represión se sentirá de modo diferente para cada uno de ellos, dijo a The Hacker News Sergey Shykevich, jefe de conjunto de Check Point Research.
 |
| Infecciones por Rhadamanthys por país |
“Los derribos de RedLine y Lumma cambiaron el ecosistema el año pasado, y Rhadamanthys se convirtió en uno de los ladrones de información más dominantes y utilizados”, añadió Shykevich. “La presente operación de aniquilación es otro paso importante en la lucha contra las grandes marcas en el ecosistema underground”.
“El desarrollador de Rhadamanthys ha tenido muchos altibajos durante los últimos primaveras y, sin bloqueo, pudo continuar e incluso acelerar su actividad. Suponemos que ahora el desarrollador detrás de Rhadamanthys intentará reactivar sus operaciones en unos días, probablemente utilizando sólo la nueva lectura 0.9.3, que se lanzó recientemente”.
“Es importante tener en cuenta que Rhadamanthys puede ocurrir sido utilizado para colocar malware adicional en sistemas infectados, por lo que otras infecciones de malware además pueden estar activas en estos sistemas y requerir mayores esfuerzos de remediación circunscrito”, dijo la Fundación Shadowserver. “Estos sistemas de víctimas además pueden ocurrir sido utilizados en intrusiones e incidentes de ransomware históricos o recientes”.
La estructura sin fines de utilidad, que ayudó en la hecho de cumplimiento, dijo que se identificaron 525.303 infecciones únicas por Rhadamanthys Stealer entre marzo y noviembre de 2025 en 226 países y territorios, lo que representa más de 86,2 millones de “eventos de robo de información”. De ellas, aproximadamente de 63.000 direcciones IP se encuentran en la India.
“La Operación Endgame 3.0 muestra lo que es posible cuando las fuerzas del orden y el sector privado trabajan juntos”, dijo en un comunicado Adam Meyers, director de Operaciones Contra Adversarios de CrowdStrike. “Interrumpir la parte primero de la esclavitud de destrucción del ransomware (los intermediarios de llegada original, los cargadores y los ladrones de información) en emplazamiento de solo a los propios operadores tiene un sensación dominó en todo el ecosistema de eCrime”.
“Al apuntar a la infraestructura que alimenta el ransomware, esta operación afectó a la riqueza del ransomware desde su origen. Pero la disrupción no es la erradicación. Los defensores deben utilizar esta ventana para alentar sus entornos, cerrar las brechas de visibilidad y despabilarse la próxima ola de herramientas que estos adversarios desplegarán”.
Las autoridades que participaron en el esfuerzo incluyeron organismos encargados de hacer cumplir la ley de Australia, Canadá, Dinamarca, Francia, Alemania, Grecia, Lituania, los Países Bajos y los Estados Unidos.
(La historia se actualizó posteriormente de la publicación para incluir información adicional de Check Point Research).
