Autoridades coordenadas pela Europol, em cooperação com agências parceiras em vários países, interromperam uma infraestrutura cibercriminosa significativa no que foi descrito como a última fase da Operação Endgame. A ação ocorreu entre 10 e 13 de novembro de 2025 e teve como alvo três serviços de malware proeminentes: o infostealer Rhadamanthys, o trojan de acesso remoto VenomRAT e o ecossistema de botnet Elysium.
Autoridades disseram que mais de 1.025 servidores foram derrubados ou interrompidos e 20 domínios foram apreendidos durante a operação. A infraestrutura foi responsável por infectar centenas de milhares de dispositivos e coletar vários milhões de credenciais roubadas. Muitas vítimas supostamente não sabiam que seus sistemas estavam comprometidos.
Entre os principais desenvolvimentos estava uma prisão feita na Grécia em 3 de novembro de um suspeito que se acredita estar conectado ao trojan VenomRAT. As autoridades disseram que esse indivíduo operava dentro de uma estrutura internacional que fornecia ferramentas de acesso remoto a outros atores cibercriminosos. O Rhadamanthys, que evoluiu para uma oferta de malware como serviço no final de 2022, foi comercializado por meio de fóruns clandestinos a taxas de assinatura mensal entre US$ 300 e US$ 500. O kit de ferramentas do infostealer se expandiu para incluir funcionalidades como extração de chaves de carteira de criptomoedas e roubo de cookies do navegador, tornando-o um importante facilitador de novas invasões.
A Europol observou que o operador do infostealer tinha acesso a mais de 100.000 carteiras de criptomoedas, potencialmente no valor de milhões de euros. A Elysium, por sua vez, forneceu infraestrutura de botnet que permitiu a distribuição em larga escala de cargas maliciosas, tráfego de proxy anônimo e redes de controle remoto, que comprometeram os sistemas de TI corporativos e, em alguns casos, os ambientes de tecnologia operacional.
A participação global das autoridades policiais foi ampla, abrangendo Austrália, Bélgica, Canadá, Dinamarca, França, Alemanha, Grécia, Lituânia, Holanda, Reino Unido e Estados Unidos. Parceiros do setor privado também contribuíram com inteligência técnica e dados forenses. Algumas empresas relataram que os painéis de back-end do Rhadamanthys ficaram offline e vários usuários afiliados ficaram sem acesso aos sistemas de controle de malware, o que significa que a interrupção afetou diretamente o modelo de negócios por trás do ladrão. Espera-se que a remoção da infraestrutura principal reduza a facilidade de acesso para afiliados que alugam os serviços de malware e pode reduzir temporariamente o volume de sistemas comprometidos.
Impacto concreto e próximos passos para as organizações
A operação alcançou resultados tangíveis além da apreensão de servidores e prisões de suspeitos. Fontes policiais compartilharam que a infraestrutura estava ligada a campanhas de infecção em mais de 226 países e territórios, com o Shadowserver relatando 525.303 infecções únicas por ladrões de Rhadamanthys entre março e novembro de 2025 e mais de 86 milhões de eventos associados de “roubo de informações”.
Os relatórios mostram que os dados comprometidos incluíam tokens de sessão, credenciais de login, senhas armazenadas no navegador e chaves de carteira de criptomoedas. Vários bancos de dados de endereços de e-mail e senhas afetados foram publicados em plataformas como HaveIBeenPwned, permitindo que indivíduos e organizações verifiquem a exposição potencial.
Para as organizações, a remoção sinaliza uma oportunidade de revisar se suas redes ou clientes foram infectados por uma das famílias de malware interrompidas. Embora a interrupção operacional da infraestrutura reduza o risco imediato, os grupos cibercriminosos podem reconstruir ou migrar rapidamente para novas plataformas. Os analistas enfatizam que os defensores devem permanecer vigilantes e melhorar a detecção de comportamentos de agentes de ameaças, como conexões de saída anormais, aumentos repentinos na atividade de acesso remoto ou uso inesperado de domínios de comando e controle.
O foco em ferramentas de acesso inicial, como infostealers e botnets, reflete uma mudança na economia do malware. Em vez de visar apenas as cargas úteis finais de ransomware, muitos ataques começam com roubo de credenciais e infiltração de endpoint, seguidos por movimento lateral em direção a alvos de maior valor. Ao interromper a cadeia de suprimentos dessas ferramentas, a Operação Endgame procurou enfraquecer todo o ecossistema em vez de derrubar operadores individuais. No entanto, as autoridades alertam que este não é o fim da ameaça. A infraestrutura desmontada durante esta fase pode ser redesenhada ou substituída por novas variantes.
As organizações são aconselhadas a verificar os indicadores das famílias de malware afetadas em seus ambientes. Isso inclui procurar ferramentas de acesso remoto herdadas, tráfego de saída criptografado incomum ou processos desconhecidos com privilégios no nível do sistema. Garantir que os backups sejam isolados, limitar o acesso administrativo e aplicar a autenticação multifator são proteções básicas, mas essenciais. A interrupção também enfatiza a importância da colaboração intersetorial, do compartilhamento oportuno de inteligência e da coordenação entre entidades públicas e privadas.
A Operação Endgame pode representar um dos maiores ataques coordenados contra plataformas de malware como serviço até o momento. Ao derrubar a infraestrutura que suporta Rhadamanthys, VenomRAT e Elysium, as agências de aplicação da lei atacaram a base de várias redes de cibercriminosos. Os efeitos provavelmente serão medidos ao longo do tempo, à medida que os operadores criminosos se reconstroem e os defensores avaliam a remediação de ativos comprometidos. Para os milhões de vítimas possivelmente afetadas, a operação pode oferecer algum alívio, embora a luta mais ampla contra o malware de commodities permaneça longe de terminar.