Familias de malware como Rhadamanthys Stealer, Venom RAT y la botnet Elysium han sido desmanteladas como parte de una operación policial coordinada dirigida por Europol y Eurojust.
La actividad, que tendrá lugar entre el 10 y el 13 de noviembre de 2025, marca la última fase de la Operación Endgame, una operación en curso diseñada para derribar infraestructuras criminales y combatir los habilitadores de ransomware en todo el mundo.
Además de desmantelar los «tres grandes facilitadores del cibercrimen», las autoridades también arrestaron al principal sospechoso detrás de Venom RAT en Grecia el 3 de noviembre, se derribaron más de 1.025 servidores y se incautaron 20 dominios.
«La infraestructura de malware desmantelada consistía en cientos de miles de ordenadores infectados que contenían varios millones de credenciales robadas», dijo Europol en un comunicado. «Muchas de las víctimas no eran conscientes de la infección de sus sistemas.»
Vale la pena señalar que la botnet Elysium neutralizada por las autoridades es el mismo servicio de botnet proxy que RHAD Security (también conocido como Mythical Origin Labs), el actor de amenazas asociado con Rhadamanthys, se observó anunciando el mes pasado.
Europol también señaló que el principal sospechoso detrás del robo de información tenía acceso a no menos de 100.000 carteras de criptomonedas pertenecientes a las víctimas, lo que podría ascender a millones de euros.
Un análisis reciente publicado por Check Point reveló que la última versión de Rhadamanthys agregó soporte para recopilar huellas digitales de dispositivos y navegadores web, además de incorporar varios mecanismos para pasar desapercibido.
Rhadamanthys, según la empresa de ciberseguridad, se ofrecía bajo dos modelos pagos, una suscripción autohospedada y una suscripción con un servidor alquilado y beneficios adicionales. Se estima que el impacto de la represión se sentirá de manera diferente para cada uno de ellos, dijo a The Hacker News Sergey Shykevich, gerente de grupo de Check Point Research.
 |
| Infecciones por Rhadamanthys por país |
«Los derribos de RedLine y Lumma cambiaron el ecosistema el año pasado, y Rhadamanthys se convirtió en uno de los ladrones de información más dominantes y utilizados», añadió Shykevich. «La actual operación de eliminación es otro paso importante en la lucha contra las grandes marcas en el ecosistema underground».
«El desarrollador de Rhadamanthys ha tenido muchos altibajos durante los últimos años y, sin embargo, pudo continuar e incluso acelerar su actividad. Suponemos que ahora el desarrollador detrás de Rhadamanthys intentará reactivar sus operaciones en unos días, probablemente utilizando sólo la nueva versión 0.9.3, que se lanzó recientemente».
«Es importante tener en cuenta que Rhadamanthys puede haber sido utilizado para colocar malware adicional en sistemas infectados, por lo que otras infecciones de malware también pueden estar activas en estos sistemas y requerir mayores esfuerzos de remediación local», dijo la Fundación Shadowserver. «Estos sistemas de víctimas también pueden haber sido utilizados en intrusiones e incidentes de ransomware históricos o recientes».
La organización sin fines de lucro, que ayudó en la acción de cumplimiento, dijo que se identificaron 525.303 infecciones únicas por Rhadamanthys Stealer entre marzo y noviembre de 2025 en 226 países y territorios, lo que representa más de 86,2 millones de «eventos de robo de información». De ellas, alrededor de 63.000 direcciones IP se encuentran en la India.
«La Operación Endgame 3.0 muestra lo que es posible cuando las fuerzas del orden y el sector privado trabajan juntos», dijo en un comunicado Adam Meyers, jefe de Operaciones Contra Adversarios de CrowdStrike. «Interrumpir la parte frontal de la cadena de destrucción del ransomware (los intermediarios de acceso inicial, los cargadores y los ladrones de información) en lugar de solo a los propios operadores tiene un efecto dominó en todo el ecosistema de eCrime».
«Al apuntar a la infraestructura que alimenta el ransomware, esta operación afectó a la economía del ransomware desde su origen. Pero la disrupción no es la erradicación. Los defensores deben utilizar esta ventana para reforzar sus entornos, cerrar las brechas de visibilidad y buscar la próxima ola de herramientas que estos adversarios desplegarán».
Las autoridades que participaron en el esfuerzo incluyeron organismos encargados de hacer cumplir la ley de Australia, Canadá, Dinamarca, Francia, Alemania, Grecia, Lituania, los Países Bajos y los Estados Unidos.
(La historia se actualizó después de la publicación para incluir información adicional de Check Point Research).
