Otoritas penegak hukum dari sembilan negara berhasil melumpuhkan lebih dari 1.000 server yang digunakan dalam operasi malware Rhadamanthys infostealer, VenomRAT, dan botnet Elysium. Aksi ini merupakan fase terbaru dari Operation Endgame, sebuah upaya kolaboratif global yang menargetkan infrastruktur kejahatan siber berskala besar.
Operasi gabungan ini dikoordinasikan oleh Europol dan Eurojust, dengan dukungan belasan mitra swasta, termasuk Cryptolaemus, Shadowserver, Spycloud, Cymru, Proofpoint, CrowdStrike, Lumen, Abuse.ch, HaveIBeenPwned, Spamhaus, DIVD, hingga Bitdefender. Antara 10 hingga 14 November 2025, penyidik melakukan penggeledahan di 11 lokasi di Jerman, Yunani, dan Belanda, menyita 20 domain sekaligus menurunkan 1.025 server yang menjadi infrastruktur utama ketiga operasi malware tersebut.
Tahap terbaru Operation Endgame juga menghasilkan penangkapan seorang tersangka kunci di Yunani pada 3 November 2025. Tersangka ini diduga memiliki kaitan langsung dengan distribusi VenomRAT, sebuah remote access trojan yang banyak digunakan untuk mengambil alih sistem korban.
Menurut Europol, infrastruktur malware yang berhasil dijatuhkan tersebut tersusun dari ratusan ribu komputer terinfeksi dengan jutaan kredensial yang dicuri. Banyak korban tidak menyadari bahwa perangkat mereka telah terinfeksi, sementara pelaku utama infostealer tercatat memiliki akses ke lebih dari 100.000 dompet kripto milik korban, dengan potensi nilai mencapai jutaan euro.
Untuk membantu mendeteksi infeksi, Europol menyarankan pengguna memanfaatkan layanan pemeriksaan sistem yang tersedia publik. Upaya pengambilalihan juga ditandai dengan pemasangan spanduk penyitaan pada situs Tor milik Rhadamanthys, menegaskan bahwa infrastruktur komando dan kontrol (C2) mereka telah digulung.
Lumen melalui unit Black Lotus Labs mengungkapkan bahwa operasi Rhadamanthys mengalami pertumbuhan signifikan sejak 2023, dengan peningkatan tajam pada Oktober dan November 2025. Mereka mencatat rata-rata sekitar 300 server aktif setiap hari, dengan puncak 535 server pada Oktober. Lebih dari 60 persen server C2 Rhadamanthys berada di Amerika Serikat, Jerman, Inggris, dan Belanda, dan mayoritas masih belum terdeteksi di platform pemindaian malware umum.
Pengumuman ini juga mengonfirmasi laporan sebelumnya bahwa para pelanggan layanan malware-as-a-service Rhadamanthys tak lagi bisa mengakses server mereka, memperkuat dugaan bahwa operasi tersebut benar-benar terhenti. Pengembang Rhadamanthys bahkan menyatakan bahwa akses mereka terputus setelah adanya koneksi yang berasal dari alamat IP Jerman terhadap panel web yang dihosting di pusat data Eropa.
Operation Endgame sendiri telah menghasilkan berbagai penindakan besar sejak digelar, termasuk pengambilalihan infrastruktur yang digunakan oleh IcedID, Bumblebee, Pikabot, Trickbot, hingga SystemBC. Operasi ini juga membidik layanan yang mendukung ekosistem ransomware, seperti AVCheck, serta pelanggan Smokeloader dan berbagai jaringan botnet lainnya. Pada 2024, kepolisian siber Ukraina juga menangkap seorang pria Rusia yang membantu kelompok Conti dan LockBit menyempurnakan malware mereka agar sulit dideteksi antivirus.