Las autoridades de Australia, Canadá, Dinamarca, Francia, Alemania, Grecia, Lituania, Países Bajos y Estados Unidos ejecutaron un golpe coordinado contra la infraestructura de ciberdelincuencia en el marco de la Operación Endgame, bajo la coordinación de Europol y Eurojust. Entre el 10 y el 14 de noviembre de 2025 se desconectaron 1.025 servidores, se incautaron 20 dominios y se practicaron registros en 11 ubicaciones en Alemania, Grecia y Países Bajos, afectando a infraestructuras asociadas al infostealer Rhadamanthys, al remote access trojan VenomRAT y al botnet Elysium.
Operación Endgame: alcance, países y socios privados en el takedown
La operación se apoyó en un modelo de colaboración público‑privada con actores clave del sector, incluidos Cryptolaemus, Shadowserver, SpyCloud, Team Cymru, Proofpoint, CrowdStrike, Lumen, Abuse.ch, Have I Been Pwned, Spamhaus, DIVD y Bitdefender. Este enfoque aceleró la atribución, sincronizó los puntos de desconexión de C2 y facilitó las acciones legales para la incautación de dominios.
Usuarios de paneles asociados a Rhadamanthys reportaron previamente pérdidas de acceso y autenticaciones desde direcciones IP alemanas, indicios que se alinearon con los registros y bloqueos confirmados por las autoridades europeas. Europol informó que la infraestructura desmantelada controlaba cientos de miles de equipos comprometidos y agregaba millones de credenciales robadas. Un sospechoso clave habría tenido acceso a más de 100.000 monederos de criptomonedas, y el 3 de noviembre se produjo una detención en Grecia vinculada a VenomRAT.
Malware objetivo: qué hacen Rhadamanthys, VenomRAT y Elysium
Rhadamanthys es un infostealer centrado en la exfiltración de contraseñas guardadas, cookies, datos de autocompletado y carteras cripto. VenomRAT proporciona control remoto persistente sobre sistemas de víctimas, habilitando espionaje, movimiento lateral y despliegue de payloads adicionales. Elysium, por su parte, opera como botnet, aprovechando dispositivos infectados para campañas de envío masivo, DDoS o distribución de más malware.
Estadísticas clave del desmantelamiento y la actividad C2
Telemetría de Lumen: picos de C2 y evasión de detecciones
Según Lumen, Rhadamanthys registró entre octubre y noviembre promedios de 300 servidores C2 activos diarios, con un pico de 535 en octubre. Más del 60% de los nodos de mando y control se alojaban en EE. UU., Alemania, Reino Unido y Países Bajos. Un dato relevante para la defensa: más del 60% de los C2 no figuraban en VirusTotal, correlacionando con un repunte de infecciones por encima de 4.000 IP únicas al día en octubre.
Indicadores de Shadowserver: cadena de infección y robo de datos
Shadowserver documentó a Rhadamanthys como eslabón inicial en numerosas intrusiones, habilitando la instalación de cargas secundarias. Entre marzo y noviembre de 2025, contabilizó 525.303 incidentes de infección y más de 86,2 millones de eventos de sustracción de datos. India concentró cerca de 63.000 direcciones IP afectadas.
Análisis: por qué funciona el enfoque de infraestructura
El desmantelamiento coordinado de C2, dominios y nodos de hosting interrumpe la cadena logística de los operadores de malware y eleva su coste operativo. La sincronización legal y técnica con proveedores, registrars y CERTs limita la reconstitución de la red, especialmente cuando se combinan incautaciones de dominios con takedowns de servidores y detenciones de individuos clave. La baja visibilidad en fuentes públicas (p. ej., C2 no catalogados en VirusTotal) subraya la importancia de threat intelligence accionable y de la monitorización comportamental en endpoints y red.
Riesgos para víctimas y cómo verificar una posible intrusión
Infostealers y RAT pueden persistir silenciosamente, exponiendo credenciales, sesiones válidas y activos cripto mucho después de la infección inicial. Europol recomienda comprobar indicios de compromiso en politie.nl/checkyourhack y revisar si sus direcciones o cuentas aparecen en brechas en haveibeenpwned.com.
Medidas prioritarias: reinstalación limpia o saneamiento exhaustivo del sistema; rotación de contraseñas y revocación de tokens de sesión; activar MFA de forma generalizada; auditar extensiones del navegador y eliminar las sospechosas; migrar criptoactivos a nuevos monederos desde equipos “limpios”; implantar EDR/antivirus con análisis comportamental; y vigilar tráfico hacia dominios/IP C2 conocidos. En organizaciones, actualizar reglas IDS/IPS, listas de bloqueo y ejecutar búsqueda retrospectiva de IOCs publicados por los participantes de la operación.
