Entre el 10 y el 13 de noviembre de 2025, Europol y Eurojust ejecutaron una nueva fase de Operation Endgame, una de las campañas de desmantelamiento de infraestructura criminal más grandes de los últimos años.
En esta ronda, las autoridades lograron derribar los ecosistemas detrás de Rhadamanthys Stealer, Venom RAT y el botnet Elysium, todos usados para robo masivo de datos, espionaje y como etapa previa a ataques de ransomware.
Más de mil servidores y 20 dominios fuera de línea
Según el comunicado oficial, los agentes coordinados por Europol desactivaron 1,025 servidores en múltiples países y confiscaron 20 dominios utilizados para controlar malware, distribuir cargas maliciosas y operar infraestructuras de comando y control.
Este esfuerzo conjunto contó con la participación de autoridades de Australia, Bélgica, Canadá, Dinamarca, Francia, Alemania, Grecia, Lituania, Países Bajos, Reino Unido y Estados Unidos.
Arrestos, allanamientos y un impacto directo en el ecosistema criminal
La operación también dejó:
1 arresto en Grecia,
11 allanamientos en Alemania, Grecia y Países Bajos,
Y un importante golpe al mercado de credenciales robadas, ya que la infraestructura intervenida afectaba a cientos de miles de víctimas.
Los operadores detrás de estos malware habían comprometido millones de credenciales y al menos 100,000 wallets de criptomonedas, potencialmente valoradas en millones de euros.
Muchas víctimas ni siquiera sabían que estaban infectadas, por lo que Europol instó a revisar dispositivos desde plataformas como politie.nl/checkyourhack y haveibeenpwned.com.
Un enfoque directo hacia usuarios y servicios criminales
Una parte novedosa de esta fase es que la policía contactó directamente a usuarios de servicios criminales, pidiéndoles información sobre su relación con infostealers a través del canal oficial de Telegram de la operación.
Además, servicios criminales caídos fueron expuestos públicamente en el sitio web de Operation Endgame para desincentivar su reactivación.
Un esfuerzo sostenido desde 2024
Esta ofensiva no es aislada. Endgame ya había ejecutado una ronda clave entre el 19 y el 22 de mayo de 2025, donde:
Se tomaron 300 servidores y 650 dominios,
Se emitieron 20 órdenes de arresto internacional,
Y se incautaron €3.5 millones en criptomonedas, acumulando un total de más de €21.2 millones decomisados desde 2024.
El año pasado, otra fase de la operación ya había golpeado a botnets relacionados con delitos de acceso inicial y campañas de ransomware.
Malware neutralizado: la cadena de infección antes del ransomware
Operation Endgame ha apuntado a malware de acceso inicial, herramientas que los atacantes usan para entrar a sistemas antes de desplegar ransomware. Las familias desarticuladas incluyen:
Bumblebee
Lactrodectus
Qakbot
Hijackloader
DanaBot
Trickbot
Warmcookie
Todas estas piezas tienen un rol central en ecosistemas de ransomware-as-a-service (RaaS).
Sospechosos en la mira: 18 criminales serán listados en la EU Most Wanted
Alemania anunció que 18 sospechosos clave detrás de servicios de malware y acceso inicial serán añadidos a la lista EU Most Wanted a partir del 23 de mayo.
Estos individuos habrían proporcionado herramientas que facilitaron ataques de ransomware a gran escala en organizaciones de todo el mundo.
Conclusión
La nueva fase de Operation Endgame demuestra que las fuerzas de seguridad están escalando su capacidad para golpear no solo a operadores de ransomware, sino también a toda la infraestructura que los habilita.
Para empresas, este caso subraya la importancia de monitorear malware de acceso inicial, fortalecer controles de endpoint y mantenerse al tanto de campañas globales que pueden afectar directamente el riesgo operativo.
