Las autoridades de nueve países dieron un golpe fuerte al cibercrimen al desmantelar más de 1.000 servidores usados por los operadores de los malwares Rhadamanthys, VenomRAT y la botnet Elysium. Esta acción forma parte de la última fase de la Operación Endgame, una ofensiva global que busca cortar de raíz las infraestructuras que sostienen estas amenazas.
La operación, coordinada por Europol y Eurojust, no solo involucró a cuerpos policiales: también sumó a un gran número de aliados del sector privado como Cryptolaemus, Shadowserver, Spycloud, Cymru, Proofpoint, CrowdStrike, Lumen, Abuse.ch, HaveIBeenPwned, Spamhaus, DIVD y Bitdefender. En conjunto, formaron un frente común para identificar, rastrear y derribar los servidores que mantenían vivas estas redes de malware.
Entre el 10 y el 14 de noviembre de 2025, se llevaron a cabo registros en 11 ubicaciones repartidas entre Alemania, Grecia y los Países Bajos. Como resultado, se incautaron 20 dominios y se desactivaron 1.025 servidores que daban soporte a estas operaciones maliciosas.
Además, esta fase de Endgame llevó a la detención de un sospechoso clave en Grecia, el pasado 3 de noviembre, directamente vinculado a VenomRAT, un troyano de acceso remoto usado para tomar control de equipos de forma encubierta.
Europol explicó que la infraestructura eliminada incluía cientos de miles de equipos infectados y millones de credenciales robadas. Lo más alarmante es que la mayoría de las víctimas ni siquiera sabía que sus dispositivos estaban comprometidos. El principal sospechoso tenía acceso a más de 100.000 monederos de criptomonedas, con un valor potencial de millones de euros.
Aviso de incautación en el sitio Tor de Rhadamanthys
Crecimiento acelerado de la infraestructura de Rhadamanthys
Según Black Lotus Labs de Lumen, uno de los equipos que colaboró con las autoridades durante la operación, la infraestructura de Rhadamanthys no dejó de crecer desde 2023, pero alcanzó su punto más alto entre octubre y noviembre de 2025.
“Vimos un promedio de unos 300 servidores activos al día, con un pico de 535 servidores solo en octubre de 2025. Más del 60% de estos servidores C2 estaban alojados en Estados Unidos, Alemania, Reino Unido y Países Bajos”, explicó Lumen.
Lo preocupante es que más del 60% de los servidores de comando y control (C2) de Rhadamanthys no aparecían detectados en VirusTotal, lo que les permitió operar bajo el radar durante mucho tiempo. Gracias a esa capacidad de ocultarse, el malware llegó a impactar a más de 4.000 direcciones IP únicas cada día en octubre de 2025, impulsando el fuerte aumento de víctimas registrado en ese periodo.
Podría interesarte leer: Indicadores de Ataques de Ransomware: ¿Cómo Identificarlos?
Evidencias que confirman el desmantelamiento total de Rhadamanthys
El anuncio confirma que la operación del infostealer Rhadamanthys quedó completamente interrumpida. Incluso los propios clientes del malware-as-a-service reconocieron que ya no podían acceder a los servidores que usaban para gestionar sus campañas.
El desarrollador de Rhadamanthys también compartió en Telegram que sospechaba de una intervención policial alemana. Según explicó, los paneles web alojados en centros de datos de la Unión Europea empezaron a registrar conexiones desde direcciones IP alemanas justo antes de que los operadores perdieran el control de toda la infraestructura.
La Operación Endgame no es nueva en esto. Esta iniciativa internacional ya ha derribado anteriormente más de un centenar de servidores vinculados a campañas de malware como IcedID, Bumblebee, Pikabot, Trickbot y SystemBC, afectando directamente la capacidad operativa de varias redes criminales.
En fases anteriores, la acción conjunta también apuntó a infraestructuras relacionadas con ransomware, al sitio de pruebas AVCheck, además de las redes y servidores de botnets como Smokeloader y otras amenazas destacadas como DanaBot, IcedID, Pikabot, Trickbot, Bumblebee y SystemBC.
Incluso fuera de esta operación, la presión internacional ha seguido creciendo. En abril de 2024, la policía cibernética de Ucrania arrestó en Kiev a un ciudadano ruso acusado de trabajar para grupos de ransomware como Conti y LockBit, ayudando a que su malware pasara desapercibido por herramientas antivirus.
Conclusión
La operación internacional que logró desarticular las redes de Rhadamanthys, VenomRAT y Elysium deja un mensaje claro: el cibercrimen no es intocable. Cuando se ataca su infraestructura, su capacidad de operar se reduce drásticamente. Es un avance importante y una muestra del impacto que puede tener la cooperación global.
Sin embargo, también es un recordatorio de que estas amenazas continúan evolucionando. Los delincuentes se reorganizan rápido y buscan nuevas vías para comprometer sistemas. Por eso, tanto usuarios como empresas deben mantener una postura de seguridad activa y constante.
En TecnetOne creemos firmemente que la prevención, la visibilidad y la respuesta temprana son claves para mantenerse un paso adelante. La ciberseguridad no se improvisa: se construye día a día.