Las autoridades europeas y organismos de seguridad internacionales han llevado a cabo una de las mayores operaciones coordinadas contra el cibercrimen de los últimos años, logrando desmantelar la infraestructura que daba soporte a las familias de malware Rhadamanthys, Venom RAT y la botnet Elysium. Estas amenazas estaban vinculadas con el robo masivo de credenciales, el control remoto de sistemas comprometidos y la facilitación de ataques de ransomware a escala global.

La operación, denominada Operation Endgame, se desarrolló entre el 10 y el 13 de noviembre bajo la coordinación de Europol y Eurojust desde La Haya, con la participación de fuerzas de seguridad de once países, entre ellos Australia, Canadá, Francia, Alemania, Grecia, Países Bajos, Reino Unido y Estados Unidos, así como múltiples empresas privadas del sector de la ciberseguridad.

Como resultado del operativo, las autoridades intervinieron más de 1.025 servidores y 20 dominios que formaban parte de la infraestructura criminal utilizada para distribuir malware, gestionar botnets y monetizar la información robada. Además, se confirmó la detención en Grecia del principal responsable de Venom RAT, ocurrida el 3 de noviembre.

Las plataformas intervenidas daban servicio a cientos de miles de dispositivos infectados en todo el mundo y estaban asociadas con el robo de millones de credenciales de acceso. En el caso de Rhadamanthys, los investigadores estiman que permitió a sus operadores acceder a más de 100.000 billeteras de criptomonedas, con un impacto económico potencial de varios millones de euros.

Tipología de las amenazas

Las tres plataformas desmanteladas representaban distintos roles dentro del ecosistema criminal:

• Rhadamanthys operaba como infostealer, centrado en la recopilación de credenciales, cookies de sesión, información bancaria y carteras de criptomonedas.
• Venom RAT permitía el control remoto de los sistemas comprometidos, facilitando espionaje, movimientos laterales y el despliegue posterior de ransomware.
• Elysium, como botnet, era utilizada para ejecutar ataques de denegación de servicio distribuido (DDoS) y campañas masivas de spam y fraude.

Según datos de Check Point, las versiones más recientes de Rhadamanthys incorporaban además mecanismos avanzados de fingerprinting de dispositivos y navegadores, así como técnicas de evasión para dificultar su detección por soluciones de seguridad tradicionales.

Las autoridades advierten de que un número significativo de las víctimas aún desconoce haber sido comprometido, lo que subraya el alto grado de sigilo de estas campañas. Por ello, recomiendan a usuarios y organizaciones verificar posibles exposiciones mediante servicios como Have I Been Pwned y Check Your Hack, así como reforzar sus políticas de seguridad, autenticación y monitorización.

Aunque esta fase de la Operación Endgame supone un golpe importante para estas redes criminales, los expertos advierten que estas organizaciones tienden a reorganizarse con rapidez. Por tanto, la cooperación internacional y la prevención siguen siendo los pilares fundamentales para contener la amenaza del cibercrimen a largo plazo.