Le autorità coordinate da Europol, in collaborazione con le agenzie partner di diversi paesi, hanno smantellato un’importante infrastruttura criminale informatica in quella che è stata descritta come l’ultima fase dell’operazione Endgame. L’azione si è svolta tra il 10 e il 13 novembre 2025 e ha preso di mira tre importanti servizi di malware: l’infostealer Rhadamanthys, il trojan di accesso remoto VenomRAT e l’ecosistema di botnet Elysium.
I funzionari hanno affermato che più di 1.025 server sono stati disattivati o interrotti e 20 domini sono stati sequestrati durante l’operazione. L’infrastruttura è stata responsabile dell’infezione di centinaia di migliaia di dispositivi e della raccolta di diversi milioni di credenziali rubate. Secondo quanto riferito, molte vittime non sono consapevoli del fatto che i loro sistemi sono stati compromessi.
Tra gli sviluppi chiave c’è stato l’arresto effettuato in Grecia il 3 novembre di un sospetto ritenuto collegato al trojan VenomRAT. Le autorità hanno affermato che questo individuo operava all’interno di un quadro internazionale che forniva strumenti di accesso remoto ad altri attori criminali informatici. Rhadamanthys, che si è evoluto in un’offerta di malware-as-a-service alla fine del 2022, era stato commercializzato tramite forum clandestini a tariffe di abbonamento mensili comprese tra $ 300 e $ 500. Il toolkit dell’infostealer si è ampliato per includere funzionalità come l’estrazione delle chiavi del portafoglio di criptovaluta e il furto di cookie del browser, rendendolo un importante fattore abilitante di ulteriori intrusioni.
Europol ha osservato che l’operatore dell’infostealer aveva accesso a più di 100.000 portafogli di criptovalute, potenzialmente per un valore di milioni di euro. Elysium, da parte sua, ha fornito un’infrastruttura botnet che ha consentito la distribuzione su larga scala di payload dannosi, traffico proxy anonimo e reti di controllo remoto, che hanno compromesso sia i sistemi IT aziendali che, in alcuni casi, gli ambienti tecnologici operativi.
La partecipazione globale delle forze dell’ordine è stata ampia e ha abbracciato Australia, Belgio, Canada, Danimarca, Francia, Germania, Grecia, Lituania, Paesi Bassi, Regno Unito e Stati Uniti. Anche i partner del settore privato hanno contribuito con informazioni tecniche e dati forensi. Alcune aziende hanno riferito che i pannelli di back-end di Rhadamanthys sono andati offline e diversi utenti affiliati si sono trovati esclusi dai sistemi di controllo del malware, il che significa che l’interruzione ha influenzato direttamente il modello di business dietro il ladro. Si prevede che la rimozione dell’infrastruttura chiave ridurrà la facilità di accesso per gli affiliati che noleggiano i servizi malware e potrebbe ridurre temporaneamente il volume dei sistemi compromessi.
Impatto concreto e prossimi passi per le organizzazioni
L’operazione ha ottenuto risultati tangibili oltre al sequestro del server e agli arresti sospetti. Fonti delle forze dell’ordine hanno condiviso che l’infrastruttura era collegata a campagne di infezione in più di 226 paesi e territori, con Shadowserver che ha segnalato 525.303 infezioni uniche da Rhadamanthys stealer tra marzo e novembre 2025 e più di 86 milioni di eventi associati al “furto di informazioni”.
I rapporti mostrano che i dati compromessi includevano token di sessione, credenziali di accesso, password memorizzate nel browser e chiavi del portafoglio di criptovaluta. Diversi database di indirizzi e-mail e password interessati sono stati pubblicati su piattaforme come HaveIBeenPwned, consentendo a individui e organizzazioni di verificare la potenziale esposizione.
Per le organizzazioni, la rimozione rappresenta un’opportunità per verificare se le loro reti o i loro clienti sono stati infettati da una delle famiglie di malware interrotte. Mentre l’interruzione operativa dell’infrastruttura riduce il rischio immediato, i gruppi di criminali informatici possono ricostruire rapidamente o migrare su nuove piattaforme. Gli analisti sottolineano che i difensori devono rimanere vigili e migliorare il rilevamento dei comportamenti degli attori delle minacce, come connessioni in uscita anomale, aumenti improvvisi dell’attività di accesso remoto o uso imprevisto di domini di comando e controllo.
L’attenzione rivolta agli strumenti di accesso iniziale come infostealer e botnet riflette un cambiamento nell’economia del malware. Piuttosto che prendere di mira solo i payload finali del ransomware, molti attacchi iniziano con il furto di credenziali e l’infiltrazione degli endpoint, seguiti da un movimento laterale verso obiettivi di valore più elevato. Interrompendo la catena di approvvigionamento di questi strumenti, l’operazione Endgame ha cercato di indebolire l’intero ecosistema piuttosto che abbattere i singoli operatori. Tuttavia, le autorità avvertono che questa non è la fine della minaccia. L’infrastruttura smantellata durante questa fase può essere riprogettata o sostituita con nuove varianti.
Si consiglia alle organizzazioni di verificare la presenza di indicatori delle famiglie di malware interessate nei loro ambienti. Ciò include la ricerca di strumenti di accesso remoto legacy, traffico in uscita crittografato insolito o processi sconosciuti con privilegi a livello di sistema. Garantire che i backup siano isolati, limitare l’accesso amministrativo e applicare l’autenticazione a più fattori sono misure di sicurezza basilari ma essenziali. L’interruzione sottolinea anche l’importanza della collaborazione intersettoriale, della condivisione tempestiva dell’intelligence e del coordinamento tra soggetti pubblici e privati.
L’operazione Endgame potrebbe rappresentare uno dei più grandi attacchi coordinati contro le piattaforme malware-as-a-service fino ad oggi. Smantellando le infrastrutture che supportano Rhadamanthys, VenomRAT ed Elysium, le forze dell’ordine hanno colpito le fondamenta di molteplici reti di criminali informatici. Gli effetti saranno probabilmente misurati nel tempo, man mano che gli operatori criminali ricostruiranno e i difensori valuteranno la bonifica degli asset compromessi. Per i milioni di vittime che potrebbero essere colpite, l’operazione potrebbe offrire un po’ di sollievo, anche se la lotta più ampia contro il malware di base rimane tutt’altro che finita.