(https://www.bleepstatic.com/content/hl-images/2024/12/12/police-raid.jpg)
Las fuerzas del orden de nueve países han desmantelado más de 1.000 servidores utilizados por el malware Rhadamanthys (ladrón de información), VenomRAT y la botnet Elysium en la última fase de la Operación Endgame, una acción internacional contra el cibercrimen.
Esta operación conjunta, coordinada por Europol y Eurojust, contó con el apoyo de diversas empresas privadas, entre ellas Cryptolaemus, Shadowserver, Spycloud, Cymru, Proofpoint, CrowdStrike, Lumen, Abuse.ch, HaveIBeenPwned, Spamhaus, DIVD y Bitdefender.
Entre el 10 y el 14 de noviembre de 2025, la policía realizó registros en 11 ubicaciones de Alemania, Grecia y los Países Bajos, incautó 20 dominios y desmanteló 1.025 servidores utilizados por el malware objetivo.
Esta fase de la Operación Endgame también culminó con la detención, el 3 de noviembre de 2025, de un sospechoso clave en Grecia, vinculado al troyano de acceso remoto VenomRAT.
«La infraestructura de malware desmantelada constaba de cientos de miles de ordenadores infectados que contenían varios millones de credenciales robadas», declaró Europol en un comunicado de prensa el jueves.
«Muchas de las víctimas desconocían la infección de sus sistemas. El principal sospechoso del robo de información tenía acceso a más de 100 000 monederos de criptomonedas pertenecientes a estas víctimas, con un valor potencial de millones de euros».
Europol también recomendó utilizar politie.nl/checkyourhack y haveibeenpwend.com para comprobar si los ordenadores estaban infectados con estas variantes de malware.
Aviso de incautación en el sitio Tor de Rhadamanthys
(https://www.bleepstatic.com/images/news/u/1109292/2025/Seizure%20banner%20on%20Rhadamanthys'%20Tor%20site.jpg)
Black Lotus Labs de Lumen, que colaboró con las fuerzas del orden en la operación, afirma que la operación de Rhadamanthys creció de forma constante desde 2023, con un notable repunte en octubre y noviembre de 2025.
«Registramos un promedio diario de trescientos servidores activos, con un pico de 535 en octubre de 2025. Estados Unidos, Alemania, el Reino Unido y los Países Bajos albergaban más del 60 % de todos los servidores C2 utilizados por Rhadamanthys», declaró Lumen.
«Cabe destacar que más del 60 % de los servidores C2 de Rhadamanthys permanecen sin detectar en VirusTotal. Estas capacidades impulsaron el reciente aumento de víctimas, afectando el malware a un promedio de más de 4000 direcciones IP únicas diarias en octubre de 2025».
(https://www.bleepstatic.com/images/news/u/1109292/2025/Rhadamanthys-victims.jpg)
El anuncio de hoy confirma el informe sobre la interrupción de la operación del programa de robo de información Rhadamanthys. Los clientes de este malware como servicio afirman haber perdido el acceso a sus servidores.
El desarrollador de Rhadamanthys también indicó en un mensaje de Telegram que cree que las fuerzas del orden alemanas están detrás de la interrupción, ya que los paneles web alojados en centros de datos de la UE registraron direcciones IP alemanas conectándose antes de que los ciberdelincuentes perdieran el acceso.
La Operación Endgame ha sido responsable de múltiples interrupciones, comenzando con la incautación de más de 100 servidores utilizados por diversas operaciones de malware, incluyendo IcedID, Bumblebee, Pikabot, Trickbot y SystemBC.
Esta acción conjunta también ha tenido como objetivo la infraestructura de ransomware, el sitio web de AVCheck, los clientes y servidores de la botnet Smokeloader, y otras importantes operaciones de malware, como DanaBot, IcedID, Pikabot, Trickbot, Smokeloader, Bumblebee y SystemBC.
En abril de 2024, la policía cibernética ucraniana también arrestó a un hombre ruso en Kiev por trabajar con las operaciones de ransomware Conti y LockBit para hacer que su malware fuera indetectable por el software antivirus.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/police-disrupts-rhadamanthys-venomrat-and-elysium-malware-operations/