Europol annuncia una delle più grandi operazioni coordinate contro il cybercrime internazionale: l’Operazione Endgame, condotta tra il 10 e il 14 novembre 2025, ha portato all’abbattimento di 1025 server e allo smantellamento di tre infrastrutture chiave — Rhadamanthys, VenomRAT ed Elysium — colpendo al cuore la rete globale di infostealer, trojan e botnet che alimentava il crimine informatico transnazionale. L’azione, guidata dal quartier generale Europol de L’Aia, coinvolge oltre cento ufficiali di polizia da Australia, Canada, Danimarca, Francia, Germania, Grecia, Lituania, Paesi Bassi e Stati Uniti, rappresentando una risposta coordinata senza precedenti alle infrastrutture che favorivano furti di dati, estorsioni e campagne ransomware.
Cosa leggere
Dettagli dell’operazione Endgame
Europol conferma che la fase operativa ha preso di mira tre tra le più attive infrastrutture criminali del 2025. Rhadamanthys, considerato uno degli infostealer più diffusi, rubava credenziali, wallet crypto e dati personali da migliaia di sistemi infetti. VenomRAT, invece, forniva accesso remoto ai computer delle vittime, consentendo spionaggio digitale, estorsione e controllo remoto di dispositivi. Infine, Elysium, una botnet su larga scala, coordinava attacchi DDoS e distribuiva malware secondari. Durante l’operazione vengono sequestrati 20 domini e perquisite 11 location: una in Germania, una in Grecia e nove nei Paesi Bassi, dove era ospitata parte dell’infrastruttura di comando e controllo. In Grecia, il 3 novembre, viene arrestato il principale sospetto legato a VenomRAT, un operatore ritenuto responsabile della gestione di oltre 100.000 wallet crypto rubati a vittime in tutto il mondo, per un valore stimato di milioni di euro. L’intervento simultaneo in più Paesi, coordinato da Europol e supportato da Eurojust per gli aspetti legali, rappresenta un colpo strategico all’ecosistema malware internazionale, con un effetto domino su reti criminali che per anni avevano prosperato sfruttando i mercati underground.
Target principali: Rhadamanthys, VenomRAT ed Elysium
Il malware Rhadamanthys emerge come la principale minaccia colpita da questa fase dell’operazione. Dopo le precedenti disrupzioni contro IcedID e Bumblebee, gli operatori di Rhadamanthys avevano ampliato il proprio mercato illegale, distribuendo varianti più sofisticate e difficili da rilevare. L’infrastruttura ora sequestrata conteneva milioni di credenziali rubate e dati sensibili, che le autorità hanno avviato a un processo di verifica per contattare le vittime tramite i portali ufficiali CheckYourHack della Polizia olandese e Have I Been Pwned. VenomRAT, trojan di accesso remoto, consentiva il controllo totale dei dispositivi infetti. Gli operatori lo utilizzavano per manipolare file, rubare informazioni bancarie e installare ulteriori payload ransomware. L’arresto in Grecia chiude un ciclo investigativo iniziato nel 2024, culminato con l’identificazione del network di server che fungeva da centro di comando. Elysium, invece, rappresentava una delle infrastrutture di botnet più versatili, in grado di coordinare migliaia di sistemi zombie per attacchi distribuiti o campagne spam su larga scala. La sua neutralizzazione riduce il rischio di nuove campagne DDoS o phishing massivo. Europol, in una dichiarazione pubblicata il 13 novembre, ha evidenziato come l’operazione abbia ridotto la capacità di diffusione del ransomware a livello globale e disattivato servizi fondamentali del cybercrime, denominati “enabler” perché forniscono strumenti base a gruppi criminali specializzati in estorsioni digitali.
Risultati e impatti diretti
Le autorità confermano che l’azione ha portato alla rimozione di oltre mille server attivi, con effetto immediato sulla riduzione di traffico illegale nel dark web. I server dismessi ospitavano infrastrutture di comando, data dropper e repository di credenziali. Gli esperti di Shadowserver Foundation, partner tecnico di Europol, stimano che le operazioni abbiano interrotto l’attività di oltre 200.000 dispositivi infetti, impedendo nuove infezioni e riducendo il rischio di accessi non autorizzati. Tra gli elementi di maggior rilievo figura il sequestro di portafogli crypto collegati ai malware Rhadamanthys e VenomRAT. L’analisi forense e il tracciamento delle transazioni hanno permesso di bloccare wallet sospetti e identificare flussi di denaro verso exchange compiacenti. L’attività di crypto-tracing continua in collaborazione con diverse piattaforme di scambio, al fine di recuperare asset sottratti alle vittime. Europol ha anche lanciato una campagna di comunicazione mirata a informare le vittime dirette degli infostealer, invitandole a verificare le proprie credenziali compromesse. In un gesto simbolico, l’agenzia ha pubblicato sul sito ufficiale dell’Operazione Endgame un video satirico che deride gli operatori di Rhadamanthys, trasformando la contro-narrazione cyber in un messaggio di deterrenza verso i criminali digitali.
Cooperazione internazionale e coordinamento operativo
La forza dell’Operazione Endgame risiede nella collaborazione transnazionale. Più di 100 ufficiali da nove Paesi hanno lavorato fianco a fianco presso il quartier generale di Europol a L’Aia, con un “sprint operativo” di cinque giorni che ha permesso di sincronizzare arresti, sequestri e takedown server. Ogni Paese partecipante ha fornito competenze specifiche: la Germania e i Paesi Bassi per la parte infrastrutturale, la Grecia per l’arresto del sospetto chiave, gli Stati Uniti e il Canada per il supporto tecnico in analisi malware, e la Francia e la Danimarca per la parte di intelligence strategica. Il contributo di Australia e Lituania ha completato il quadro operativo, garantendo una visione globale delle infrastrutture criminali collegate. Europol ha inoltre confermato la collaborazione con la Shadowserver Foundation e altri partner privati del settore cybersecurity, che hanno fornito dati sulle reti infette e strumenti di analisi avanzati. Questo modello di cooperazione pubblico-privato diventa ora un riferimento per le future campagne anti-malware a livello internazionale.
Impatto sulle vittime e misure preventive
L’infrastruttura smantellata conteneva milioni di credenziali compromesse, molte delle quali associate a wallet crypto, account email e accessi aziendali. Europol ha invitato tutti gli utenti a verificare la propria esposizione sui portali CheckYourHack e Have I Been Pwned, che permettono di controllare oltre 2 milioni di email e 7,4 milioni di password rubate. Le vittime vengono istruite a cambiare immediatamente le proprie credenziali, abilitare l’autenticazione a due fattori e installare software di sicurezza aggiornato. Europol, in collaborazione con le polizie nazionali, sta fornendo assistenza diretta per la rimozione dei malware residui e la protezione dei dati personali. L’operazione ha anche un impatto psicologico importante: dissuadere futuri operatori e rafforzare la fiducia nella capacità delle autorità di agire su scala globale. La trasparenza dell’azione e la pubblicazione dei risultati contribuiscono a una maggiore consapevolezza pubblica sulla minaccia degli infostealer e sulle buone pratiche di igiene digitale.
Fasi precedenti e continuità dell’operazione
L’Operazione Endgame non nasce dal nulla. È l’evoluzione diretta delle fasi precedenti, iniziate nel maggio 2024, quando Europol aveva già smantellato oltre 100 server in dieci Paesi e colpito malware come IcedID, Trickbot, SmokeLoader e Pikabot. La fase 2.0 dell’aprile 2025 aveva poi esteso le azioni a nuove botnet emergenti, ponendo le basi per la fase attuale, considerata la più ampia operazione anti-botnet mai realizzata in Europa. Ogni iterazione di Endgame si è basata sulle informazioni raccolte in precedenza, migliorando le strategie di tracciamento e prevenzione. La progressione costante dimostra la volontà di mantenere pressione continua sulle reti criminali, impedendo loro di riorganizzarsi.
Significato strategico e prospettive future
Con l’abbattimento di oltre mille server e l’arresto di operatori chiave, l’Operazione Endgame segna una svolta nel contrasto al cybercrime organizzato. Non solo riduce la superficie d’attacco e interrompe la catena di distribuzione del malware, ma invia un messaggio chiaro: nessuna infrastruttura criminale è più al sicuro dietro i confini digitali. Europol prevede ulteriori fasi di monitoraggio, con analisi dei dati sequestrati e identificazione di complici secondari. L’obiettivo è trasformare questa operazione in un modello permanente di cyber resilience internazionale, dove cooperazione, trasparenza e prevenzione diventano strumenti centrali per la sicurezza globale.
