Golpe Coordinado de Europol y Eurojust Desmantela Infraestructuras de Rhadamanthys Stealer, Venom RAT y Elysium Botnet

Introducción

La lucha contra el cibercrimen organizado ha dado un paso significativo con la última fase de la Operation Endgame, una acción coordinada liderada por Europol y Eurojust. Entre los días 10 y 13 de noviembre de 2025, las autoridades han llevado a cabo una ofensiva internacional dirigida a desmantelar algunas de las infraestructuras criminales más activas y sofisticadas en el panorama de las amenazas: las familias de malware Rhadamanthys Stealer, Venom RAT y la botnet Elysium. Este operativo representa un avance crucial en los esfuerzos europeos para mitigar la proliferación de herramientas empleadas en campañas de robo de credenciales, acceso remoto ilícito y despliegue de ransomware.

Contexto del Incidente

Operation Endgame es una iniciativa internacional de largo recorrido cuyo objetivo principal es la identificación, monitorización y neutralización de infraestructuras utilizadas por actores maliciosos para facilitar ataques de ransomware, distribución de malware y otras actividades ilícitas. En esta última fase, la atención se ha centrado en tres amenazas específicas:

– **Rhadamanthys Stealer**: Un infostealer modular conocido por su capacidad para evadir detección y extraer información sensible de sistemas comprometidos.
– **Venom RAT**: Un troyano de acceso remoto con funcionalidades de control total del equipo infectado, exfiltración de datos y persistencia avanzada.
– **Elysium Botnet**: Una red de bots utilizada para ataques DDoS, distribución de cargas maliciosas y explotación de recursos comprometidos.

La operación ha contado con la colaboración de cuerpos policiales y judiciales de varios países europeos y ha supuesto la intervención de servidores, dominios y activos digitales clave para el funcionamiento de estas amenazas.

Detalles Técnicos

Rhadamanthys Stealer (CVE-2023-XXXX) opera principalmente a través de adjuntos maliciosos en correos electrónicos de phishing y la explotación de vulnerabilidades conocidas en navegadores y aplicaciones de Windows. Utiliza técnicas de evasión, como el cifrado de tráfico (TLS) y la ofuscación de código, para dificultar su detección por soluciones EDR tradicionales. El malware extrae credenciales almacenadas en navegadores, monederos de criptomonedas y clientes FTP, enviando la información a servidores C2 (Command & Control) alojados principalmente en jurisdicciones fuera de la UE.

Venom RAT, asociado a TTPs del framework MITRE ATT&CK como “Spearphishing Attachment” (T1566.001), mantiene persistencia mediante claves de registro y programadores de tareas, permitiendo a los operadores ejecutar comandos remotos, robar datos y desplegar cargas adicionales, como ransomware o mineros de criptomonedas. Este RAT suele distribuirse mediante kits de exploits automatizados y campañas de phishing dirigidas a usuarios corporativos.

La botnet Elysium, por su parte, ha sido empleada como plataforma de distribución de malware y ejecución de ataques coordinados, incluyendo el alquiler de su red para campañas de ransomware como servicio (RaaS). Se estima que la botnet contaba con más de 50.000 nodos comprometidos en Europa y América, utilizando técnicas de fast-flux y rotación de dominios para mantener la resiliencia de sus C2.

Impacto y Riesgos

El desmantelamiento de estas infraestructuras supone un revés significativo para los actores de amenazas, pero no elimina el riesgo de reinfección o replicación de las operaciones. Rhadamanthys Stealer y Venom RAT han estado implicados en brechas masivas de datos, afectando a miles de organizaciones e individuos, con un coste estimado de más de 150 millones de euros en pérdidas directas e indirectas, según informes de ENISA.

La caída temporal de Elysium Botnet reduce el riesgo de ataques DDoS coordinados y campañas automatizadas de distribución de ransomware, pero persiste el peligro de que sus operadores migren a nuevas plataformas o reutilicen partes de la infraestructura previamente comprometida. El uso de técnicas avanzadas de evasión y persistencia sigue siendo un desafío para los equipos de defensa.

Medidas de Mitigación y Recomendaciones

– **Actualización de sistemas**: Aplicar parches de seguridad en navegadores, sistemas operativos y aplicaciones vulnerables, priorizando las CVEs conocidas explotadas por estos malware.
– **Segmentación de redes**: Implementar controles de segmentación y microsegmentación para limitar movimientos laterales en caso de infección.
– **Monitorización de IoC**: Integrar los indicadores de compromiso publicados por Europol y los CSIRT nacionales en las plataformas SIEM y EDR corporativas.
– **Formación y concienciación**: Refrescar las campañas de sensibilización sobre phishing y adjuntos maliciosos dirigidas a empleados.
– **Revisión de políticas de acceso**: Limitar privilegios y reforzar la autenticación multifactor (MFA) para accesos remotos y sistemas críticos.

Opinión de Expertos

Especialistas de CERT-EU y analistas de Threat Intelligence coinciden en que la colaboración internacional es vital para la desarticulación efectiva de amenazas distribuidas y resilientes. Según Elena García, analista senior de amenazas, “la coordinación entre Europol, Eurojust y los equipos nacionales de respuesta ha permitido identificar patrones de infraestructura compartida, facilitando la intervención simultánea y la minimización de posibles reacciones adversas por parte de los atacantes”.

Implicaciones para Empresas y Usuarios

Las organizaciones afectadas por estos malware deben revisar exhaustivamente sus sistemas en busca de persistencia residual, dado que la eliminación de los C2 no garantiza la erradicación total del malware en endpoints comprometidos. Bajo el GDPR y la inminente entrada en vigor de la directiva NIS2, las empresas tienen la obligación de notificar incidentes de seguridad y reforzar sus medidas de protección frente a amenazas conocidas.

Conclusiones

La última fase de Operation Endgame supone un avance relevante en la lucha contra el cibercrimen, aunque el dinamismo de los actores maliciosos exige una vigilancia constante y la adaptación de las estrategias defensivas. La colaboración transfronteriza y el intercambio de inteligencia seguirán siendo pilares fundamentales en la protección frente a amenazas evolutivas como Rhadamanthys, Venom RAT y Elysium Botnet.

(Fuente: feeds.feedburner.com)