Obiettivo Rhadamanthys, VenomRAT ed Elysium: l’operazione internazionale che indebolisce tre pilastri del malware-as-a-service
La nuova fase di Operation Endgame, coordinata da Europol tra il 10 e il 14 novembre 2025 all’Aia, ha colpito tre infrastrutture centrali dell’ecosistema cybercriminale: l’infostealer Rhadamanthys, il Remote Access Trojan VenomRAT e la botnet Elysium. Le autorità coinvolte hanno rimosso 1.025 server utilizzati per compromettere centinaia di migliaia di sistemi nel mondo. L’operazione ha portato anche all’arresto del principale sospettato collegato a VenomRAT, fermato in Grecia il 3 novembre.
Le reti criminali prese di mira sostenevano attività di furto credenziali, controllo remoto illegale e diffusione di malware. I sistemi infetti contenevano milioni di credenziali sottratte e oltre 100.000 wallet crittografici di vittime ignare, con un potenziale valore di diversi milioni di euro. Europol invita utenti e aziende a verificare eventuali compromissioni attraverso politie.nl/checkyourhack e haveibeenpwned.com.
La portata dell’operazione e il ruolo dei partner privati
L’intervento rientra nella strategia internazionale contro le infrastrutture che facilitano i ransomware e il cybercrime su larga scala. Oltre a Europol ed Eurojust, hanno partecipato forze dell’ordine e autorità giudiziarie di Australia, Belgio, Canada, Danimarca, Francia, Germania, Grecia, Lituania, Paesi Bassi, Regno Unito e Stati Uniti. Il supporto privato ha avuto un peso rilevante nella raccolta dati e nell’analisi tecnica. Organizzazioni come Cryptolaemus, Shadowserver, Spycloud, Cymru, Proofpoint, Crowdstrike, Lumen, Abuse.ch, DIVD, Bitdefender e Have I Been Pwned hanno fornito intelligence cruciale.
La complessa attività ha previsto 11 perquisizioni fisiche e la rimozione o interruzione di oltre 1.025 server. Sono stati inoltre sequestrati 20 domini utilizzati per la gestione delle reti criminali. Una parte del lavoro ha incluso il contatto diretto con utenti che acquistavano servizi illeciti, invitati dalla polizia a fornire informazioni attraverso il canale Telegram dedicato.
Il centro di comando di Europol e il coordinamento operativo
Durante le giornate operative, oltre un centinaio di investigatori provenienti da Australia, Canada, Danimarca, Francia, Germania, Grecia e Stati Uniti hanno operato dal command post all’interno della sede Europol. Le attività includevano scambio di intelligence su server sequestrati, analisi forensi, tracciamento finanziario in criptovalute e coordinamento delle richieste giudiziarie internazionali. Eurojust ha contribuito all’esecuzione dei mandati europei di arresto e ordini di indagine.
La lista delle autorità partecipanti comprende corpi investigativi e procure specializzate come Bundeskriminalamt, Hellenic Police, Lithuanian Criminal Police Bureau, Politie olandese, FBI e Australian Federal Police.
Operation Endgame rappresenta una delle campagne più estese contro il malware-as-a-service a livello globale e mira a interrompere le infrastrutture che sostengono modelli criminali scalabili. Le autorità confermano che le attività proseguiranno e invitano i cittadini a vigilare sullo stato di sicurezza dei propri dispositivi.
