Las autoridades coordinadas por Europol, en cooperación con agencias asociadas en varios países, han desbaratado una importante infraestructura cibercriminal en lo que se describió como la última fase de la Operación Endgame. La acción tuvo lugar entre el 10 y el 13 de noviembre de 2025 y se dirigió a tres destacados servicios de malware: el ladrón de información Rhadamanthys, el troyano de acceso remoto VenomRAT y el ecosistema de botnets Elysium.
Los funcionarios dijeron que más de 1.025 servidores fueron derribados o interrumpidos, y 20 dominios fueron incautados durante la operación. La infraestructura fue responsable de infectar cientos de miles de dispositivos y recopilar varios millones de credenciales robadas. Según los informes, muchas víctimas no sabían que sus sistemas estaban comprometidos.
Entre los desarrollos clave se encuentra el arresto realizado en Grecia el 3 de noviembre de un sospechoso que se cree que está relacionado con el troyano VenomRAT. Las autoridades dijeron que este individuo operaba dentro de un marco internacional que proporcionaba herramientas de acceso remoto a otros actores cibercriminales. Rhadamanthys, que se convirtió en una oferta de malware como servicio a fines de 2022, se había comercializado a través de foros clandestinos a tarifas de suscripción mensuales entre $ 300 y $ 500. El kit de herramientas del ladrón de información se amplió para incluir funcionalidades como la extracción de claves de billetera de criptomonedas y el robo de cookies del navegador, lo que lo convierte en un importante facilitador de nuevas intrusiones.
Europol señaló que el operador del ladrón de información tenía acceso a más de 100.000 billeteras de criptomonedas, con un valor potencial de millones de euros. Elysium, por su parte, proporcionó una infraestructura de botnet que permitió la distribución a gran escala de cargas útiles maliciosas, tráfico proxy anónimo y redes de control remoto, que comprometieron tanto los sistemas de TI empresariales como, en algunos casos, los entornos de tecnología operativa.
La participación mundial de las fuerzas del orden fue amplia, abarcando Alemania, Australia, Bélgica, Canadá, Dinamarca, Estados Unidos, Francia, Grecia, Lituania, Países Bajos y Reino Unido. Los socios del sector privado también contribuyeron con inteligencia técnica y datos forenses. Algunas empresas informaron que los paneles de back-end de Rhadamanthys se desconectaron y varios usuarios afiliados se encontraron bloqueados de los sistemas de control de malware, lo que significa que la interrupción afectó directamente el modelo de negocio detrás del ladrón. Se espera que el desmantelamiento de la infraestructura clave reduzca la facilidad de acceso para los afiliados que alquilan los servicios de malware y pueda reducir temporalmente el volumen de sistemas comprometidos.
Impacto concreto y próximos pasos para las organizaciones
La operación logró resultados tangibles más allá de la incautación del servidor y los arrestos de sospechosos. Fuentes policiales compartieron que la infraestructura estaba vinculada a campañas de infección en más de 226 países y territorios, y Shadowserver informó de 525.303 infecciones únicas de ladrones de Rhadamanthys entre marzo y noviembre de 2025 y más de 86 millones de eventos asociados de “robo de información”.
Los informes muestran que los datos comprometidos incluían tokens de sesión, credenciales de inicio de sesión, contraseñas almacenadas en el navegador y claves de billetera de criptomonedas. Se publicaron varias bases de datos de direcciones de correo electrónico y contraseñas afectadas en plataformas como HaveIBeenPwned, lo que permite a las personas y organizaciones verificar la posible exposición.
Para las organizaciones, la eliminación es una oportunidad para revisar si sus redes o clientes fueron infectados por una de las familias de malware interrumpidas. Si bien la interrupción operativa de la infraestructura reduce el riesgo inmediato, los grupos de ciberdelincuentes pueden reconstruir o migrar rápidamente a nuevas plataformas. Los analistas enfatizan que los defensores deben permanecer atentos y mejorar la detección de comportamientos de actores de amenazas, como conexiones salientes anormales, aumentos repentinos en la actividad de acceso remoto o uso inesperado de dominios de comando y control.
El enfoque en las herramientas de acceso inicial como los ladrones de información y las botnets refleja un cambio en la economía del malware. En lugar de apuntar solo a las cargas útiles finales de ransomware, muchos ataques comienzan con el robo de credenciales y la infiltración de endpoints, seguidos de un movimiento lateral hacia objetivos de mayor valor. Al interrumpir la cadena de suministro de estas herramientas, Operation Endgame buscó debilitar todo el ecosistema en lugar de derribar a los operadores individuales. Sin embargo, las autoridades advierten que este no es el final de la amenaza. La infraestructura desmantelada durante esta fase puede ser rediseñada o reemplazada por nuevas variantes.
Se recomienda a las organizaciones que verifiquen los indicadores de las familias de malware afectadas en sus entornos. Esto incluye la búsqueda de herramientas de acceso remoto heredadas, tráfico saliente cifrado inusual o procesos desconocidos con privilegios a nivel de sistema. Garantizar que las copias de seguridad estén aisladas, limitar el acceso administrativo y aplicar la autenticación multifactor son salvaguardas básicas pero esenciales. La disrupción también enfatiza la importancia de la colaboración intersectorial, el intercambio oportuno de inteligencia y la coordinación entre entidades públicas y privadas.
La Operación Endgame puede representar uno de los mayores ataques coordinados contra las plataformas de malware como servicio hasta la fecha. Al derribar la infraestructura que respalda a Rhadamanthys, VenomRAT y Elysium, las agencias de aplicación de la ley han atacado los cimientos de múltiples redes de ciberdelincuentes. Es probable que los efectos se midan con el tiempo a medida que los operadores criminales se reconstruyan y los defensores evalúen la remediación de los activos comprometidos. Para los millones de víctimas posiblemente afectadas, la operación puede ofrecer cierto alivio, aunque la lucha más amplia contra el malware básico sigue lejos de terminar.