L’operazione Endgame rappresenta una delle più imponenti azioni coordinate contro le infrastrutture cybercriminali degli ultimi anni, puntando il mirino su botnet e malware di ampia diffusione come Rhadamanthys Stealer, Venom RAT ed Elysium botnet. Lanciata da Europol ed Eurojust, questa operazione ha coinvolto forze dell’ordine di numerosi Paesi, tra cui Australia, Canada, Francia, Germania, Grecia, Lituania, Paesi Bassi, Danimarca e Stati Uniti, con lo scopo di colpire direttamente le fondamenta dei gruppi che forniscono strumenti per il ransomware e il furto di dati.

Tra il 10 e il 13 novembre 2025, le autorità hanno smantellato l’infrastruttura di questi malware, sequestrando oltre 1.025 server e 20 domini utilizzati per coordinare attacchi globali. In particolare, è stato arrestato in Grecia il principale sospettato legato a Venom RAT, segnando un importante successo nella lotta contro i broker di accesso iniziale e gli operatori di infostealer. Queste azioni hanno portato alla luce un enorme volume di dati compromessi: Europol ha comunicato che le reti coinvolte avevano infettato centinaia di migliaia di computer, rubando milioni di credenziali e informazioni sensibili, spesso senza che le vittime ne fossero consapevoli.

Un dato rilevante riguarda Rhadamanthys Stealer: secondo la Shadowserver Foundation, sono state rilevate oltre 525.000 infezioni uniche tra marzo e novembre 2025, distribuite in 226 paesi e territori, per un totale di oltre 86 milioni di eventi di furto di informazioni. Di questi, circa 63.000 indirizzi IP risultano localizzati in India. Inoltre, il principale sospettato avrebbe avuto accesso a più di 100.000 wallet di criptovalute di vittime in tutto il mondo, con un potenziale danno di milioni di euro.

Le analisi di sicurezza mostrano che la versione più recente di Rhadamanthys è stata aggiornata per raccogliere fingerprint di dispositivi e browser e per eludere i sistemi di rilevamento, rendendo la sua identificazione e la bonifica delle macchine infette ancora più complessa. È importante sottolineare che spesso questi infostealer vengono usati come vettori per distribuire ulteriori malware, aumentando il rischio di intrusioni e incidenti ransomware.

L’operazione Endgame dimostra come la collaborazione tra enti pubblici e privati sia fondamentale per colpire non solo gli operatori finali di ransomware, ma soprattutto chi fornisce le infrastrutture e i servizi che alimentano l’ecosistema del cybercrimine. Questo tipo di azioni ha un impatto a catena su tutto il panorama e-crime, offrendo un’occasione preziosa ai difensori per rafforzare le proprie difese e anticipare le future evoluzioni delle minacce.