Familias de malware como Rhadamanthys Stealer, Venom RAT y la botnet Elysium fueron destruidas como parte de una operación policial coordinada dirigida por Europol y Eurojust.
La actividad, que tuvo lugar entre el 10 y el 13 de noviembre de 2025, marca la última fase de la Operación Endgame, una operación en curso para destruir la infraestructura criminal y combatir los facilitadores del ransomware en todo el mundo.
Además de desmantelar los “tres grandes facilitadores del cibercrimen”, las autoridades también arrestaron al principal sospechoso detrás de Venom RAT en Grecia el 3 de noviembre, cerraron más de 1.025 servidores y confiscaron 20 dominios.
“La infraestructura de malware desmantelada consistía en cientos de miles de ordenadores infectados que contenían varios millones de credenciales robadas”, dijo Europol en un comunicado. “Muchas de las víctimas no sabían que sus sistemas habían sido infectados”.
Vale la pena señalar que la botnet Elysium neutralizada por las autoridades es el mismo servicio de botnet proxy RHAD Security (también conocido como Mythical Origin Labs), el actor de amenazas vinculado a Rhadamanthys cuya publicidad se observó el mes pasado.
Europol también descubrió que el principal sospechoso detrás del robo de información tenía acceso a hasta 100.000 carteras de criptomonedas de las víctimas, con un valor potencial de millones de euros.
Un análisis reciente de Check Point encontró que la última versión de Rhadamanthys admite la toma de huellas digitales de dispositivos y navegadores web e incluye varios mecanismos para permanecer fuera del radar.
Según la empresa de ciberseguridad, Rhadamanthys se ofreció en dos modelos pagos, una suscripción autohospedada y una suscripción con un servidor alquilado y beneficios adicionales. Se espera que cada uno de ellos sienta el impacto de la represión de manera diferente, dijo a The Hacker News Sergey Shykevich, líder del grupo de Check Point Research.
 |
| Infecciones por Rhadamanthys por país |
“Los cierres de RedLine y Lumma cambiaron el ecosistema el año pasado y Rhadamanthys se convirtió en uno de los ladrones de información más dominantes y extendidos”, añadió Shykevich. “La actual campaña de eliminación es otro paso importante en la lucha contra las grandes marcas del ecosistema underground”.
“El desarrollador de Rhadamanthys ha tenido muchos altibajos en los últimos años y todavía ha podido continuar e incluso acelerar sus actividades. Esperamos que el desarrollador detrás de Rhadamanthys intente reactivar sus operaciones en unos días, probablemente sólo con la nueva versión 0.9.3, que fue lanzada recientemente”.
“Es importante tener en cuenta que Rhadamanthys puede haber sido utilizado para propagar malware adicional en sistemas infectados, por lo que otras infecciones de malware también pueden estar activas en estos sistemas y requerir una mayor reparación local”, dijo la Fundación Shadowserver. “Estos sistemas de víctimas también pueden haber sido utilizados en intrusiones e incidentes de ransomware históricos o actuales”.
La organización sin fines de lucro que ayudó en la acción de cumplimiento dijo que se detectaron 525.303 infecciones únicas de ladrones de Rhadamanthys en 226 países y territorios entre marzo y noviembre de 2025, lo que representa más de 86,2 millones de “incidentes de robo de datos”. De ellas, alrededor de 63.000 direcciones IP se encuentran en la India.
“La Operación Endgame 3.0 muestra lo que es posible cuando las fuerzas del orden y el sector privado trabajan juntos”, dijo en un comunicado Adam Meyers, jefe de operaciones contra adversarios de CrowdStrike. “Interrumpir la parte frontal de la cadena de eliminación del ransomware (los primeros intermediarios de acceso, cargadores y ladrones de información) y no solo a los propios operadores, está impactando el ecosistema de eCrime”.
“Al apuntar a la infraestructura que impulsa el ransomware, esta operación golpea la economía del ransomware en su origen. Pero la disrupción no es la erradicación. Los defensores deben aprovechar esta ventana de oportunidad para reforzar sus entornos, cerrar las brechas de visibilidad y buscar la próxima ola de herramientas que implementarán estos adversarios”.
Las autoridades involucradas en la operación incluyeron fuerzas del orden de Australia, Canadá, Dinamarca, Francia, Alemania, Grecia, Lituania, los Países Bajos y los Estados Unidos.
(La historia se actualizó después de la publicación para incluir información adicional de Check Point Research).
About The Author
