Sommario
A distanza di quasi un anno dal clamoroso smantellamento delle principali infrastrutture malware europee, Europol e le agenzie internazionali di polizia tornano a colpire con un nuovo ciclo operativo della Operazione Endgame, centrato questa volta non sugli sviluppatori, ma sugli utilizzatori finali delle piattaforme criminali digitali.
Obiettivo: i clienti del botnet Smokeloader
Nella nuova offensiva, le autorità di Stati Uniti, Canada, Germania, Francia, Paesi Bassi, Danimarca e Repubblica Ceca hanno eseguito cinque arresti, perquisizioni domiciliari, interrogatori formali e notifiche giudiziarie a carico dei clienti del botnet Smokeloader, uno dei principali strumenti compromessi già durante la fase iniziale dell’Operazione Endgame nel maggio 2024.
Smokeloader, gestito dall’attore criminale conosciuto con l’alias “Superstar”, offriva un servizio pay-per-install che consentiva ai clienti di ottenere accesso diretto ai dispositivi infetti per installare ulteriori payload malevoli. Le finalità variavano: keylogging, accesso remoto a webcam, cryptomining, ransomware e strumenti per lo spionaggio aziendale.
Database cifrato svela identità reali
L’elemento chiave di questa nuova fase investigativa è rappresentato da un database cifrato sequestrato nel 2024, contenente nomi utente, alias, metadati e registrazioni delle transazioni. Analizzando i dati, le forze dell’ordine sono riuscite a collegare i profili digitali con identità anagrafiche reali, aprendo così la strada a una serie di azioni coordinate transfrontaliere.
Alcuni degli utenti colpiti hanno tentato di rivendere i servizi acquistati tramite Smokeloader ad altri soggetti criminali, aumentando la loro esposizione legale. Altri hanno collaborato con le autorità, consegnando dispositivi digitali contenenti prove forensi chiave.
Focus sulla domanda: il modello crime-as-a-service sotto pressione
Questa fase dell’Operazione Endgame rappresenta un cambio strategico di paradigma: se le azioni del 2024 avevano come obiettivo i fornitori di servizi malware, il 2025 si concentra sulla domanda. L’idea è colpire chi finanzia e sostiene economicamente il sistema crime-as-a-service, dimostrando che nessuno può considerarsi al sicuro dietro nickname o indirizzi crypto.
Come sottolinea Europol, molti dei soggetti indagati pensavano di essere ormai fuori dal radar delle autorità, solo per scoprire che la cooperazione internazionale in ambito cybercrime non conosce tempi morti né confini geografici.
Supporto logistico e analitico da parte di Europol e J-CAT
La nuova operazione è stata coordinata dal Joint Cybercrime Action Taskforce (J-CAT), ospitato presso Europol all’Aia. Le attività hanno incluso:
- Scambi di informazioni in tempo reale tra i Paesi partecipanti.
- Supporto forense per l’analisi dei dispositivi sequestrati.
- Coordinamento operativo tramite sessioni dedicate tra i team investigativi.
Tra le autorità coinvolte:
- Royal Canadian Mounted Police (RCMP)
- Polizia della Repubblica Ceca
- Danish Police
- Police Nationale – Office Anti-Cybercriminalité (Francia)
- Bundeskriminalamt (Germania) e ZIT Frankfurt
- Politie e NIS (Paesi Bassi)
- FBI, US Secret Service e DCIS (USA)
Il sito dedicato: operation-endgame.com
Per favorire la collaborazione anche con la società civile e stimolare nuove segnalazioni, Europol ha reso attivo il sito operation-endgame.com, disponibile anche in lingua russa. Il portale serve per informare, denunciare in forma anonima e ricevere aggiornamenti ufficiali su ulteriori azioni previste nei prossimi mesi.
Lezione per i cybercriminali: nessuno è invisibile
L’inchiesta dimostra come l’illusione di anonimato online non protegga realmente gli attori del crimine informatico, nemmeno quelli di basso profilo. La digital forensics, unita a cooperazione giudiziaria internazionale e sorveglianza dei pagamenti in criptovalute, consente oggi di smantellare intere filiere criminali, non solo i livelli più alti.
