Autoridades internacionais tiraram do ar mais de mil servidores ligados a infraestruturas de malware que serviam de suporte a infostealers, RATs e botnets, em uma operação coordenada pela Europol entre 10 e 14 de novembro de 2025.
Descoberta e escopo
Entre 10 e 14 de novembro de 2025, uma ação conjunta liderada pela Europol e suportada por Eurojust desmontou servidores que davam suporte a três famílias de malware citadas pelas autoridades: o infostealer Rhadamanthys, o Remote Access Trojan VenomRAT e o botnet Elysium. A operação reuniu autoridades de 11 países e contou com mais de 100 oficiais no posto de comando em The Hague.
Abordagem operacional
A ação combinou ferramentas legais e técnicas: Eurojust forneceu instrumentos jurídicos como European Arrest Warrants e Investigation Orders, enquanto a Europol coordenou a partilha em tempo real de inteligência sobre servidores, suspeitos e transferências de dados. Parceiros do setor privado contribuíram com inteligência de ameaças, sinkholing e análise de malware.
Parceiros citados
- Cryptolaemus
- Shadowserver
- SpyCloud
- Proofpoint
- CrowdStrike
- Lumen
- Abuse.ch
- Have I Been Pwned
- Spamhaus
- DIVD
- Bitdefender
Impacto e alcance
As autoridades afirmam que a infraestrutura derrubada sustentava centenas de milhares de computadores comprometidos e armazenava milhões de credenciais roubadas. Segundo o relato do conjunto de fontes, o infostealer Rhadamanthys por si só dava acesso a mais de 100.000 carteiras de criptomoedas — um ativo potencialmente avaliado em milhões de euros, de acordo com as estimativas citadas.
Os artefatos removidos incluem painéis de controlo, servidores de comando e controlo, domínios e infraestrutura de distribuição usados para amplificar DDoS, enviar spam e servir loaders de ransomware e infostealers.
Limites das informações
As fontes não detalham quantas detenções foram efetuadas nem o inventário completo de dados recuperados. Também não há uma lista pública de endereços IP ou domínios exatos incluídos na derrubada — as informações operacionais completas permanecem centralizadas nos órgãos envolvidos.
O que fazer se você for um possível afetado
As autoridades recomendam checar compromissos usando serviços públicos citados durante a operação, como Have I Been Pwned, e recursos policiais nacionais (por exemplo, ferramentas locais de verificação de roubo de credenciais). Pesquisadores e equipes de resposta devem considerar buscas por sinais de infecção: tráfego para painéis C2 conhecidos, uso de loaders correlacionados com Rhadamanthys/VenomRAT e revisões de logs de autenticação para sessões anômalas.
Repercussão e próximos passos
A operação evidencia a capacidade de colaboração entre agências de aplicação da lei e o setor privado para interromper cadeias de monetização do crime cibernético. As fontes destacam que, embora a infraestrutura tenha sido retirada do ar, vítimas e sistemas comprometidos podem permanecer com resíduos operacionais, exigindo detecção e remediação proativas por parte de equipes de segurança.
Contexto adicional
Operações desse tipo costumam ser seguidas por atividade de limpeza por parte de operadores criminosos (migração para novas infraestruturas, alteração de painéis e mudança de TTPs). Assim, equipes responsáveis por ativos críticos devem priorizar detecção de persistência e reconfiguração de credenciais expostas.
Resumo
Operation Endgame, coordenada pela Europol e Eurojust com apoio de parceiros privados, derrubou mais de mil servidores ligados a Rhadamanthys, VenomRAT e Elysium entre 10 e 14 de novembro de 2025. A ação envolveu 11 países, mais de 100 oficiais no posto de comando e parceiros de segurança que auxiliaram em sinkholing e análise. As fontes citam centenas de milhares de máquinas comprometidas, milhões de credenciais roubadas e mais de 100.000 carteiras de criptomoedas acessíveis via Rhadamanthys.