L’operazione internazionale Endgame ha inferto un colpo decisivo al malware Rhadamanthys, una delle piattaforme di furto dati più diffuse nel dark web. Coordinata da Europol ed Eurojust, l’azione ha portato al sequestro di 1.025 server utilizzati per diffondere il software malevolo e gestire milioni di credenziali rubate. È stato un intervento di ampia portata, che ha coinvolto forze di polizia di diversi Paesi tra il 10 e il 13 novembre, dimostrando la crescente capacità europea di contrastare le reti criminali digitali.
Rhadamanthys, il malware che rubava anche ai criminali
Secondo i dati forniti da Europol, il malware Rhadamanthys era attivo in oltre 226 Paesi e aveva infettato più di 525.000 dispositivi, raccogliendo oltre 86 milioni di record sensibili, tra cui credenziali di accesso, dati finanziari e chiavi di portafogli di criptovalute. Il principale amministratore del sistema, oltre a fornire il malware a pagamento, avrebbe trattenuto per sé le informazioni più preziose, lasciando ai clienti delinquenziali i dati di minor valore. Un inganno che ha aggiunto un tocco di ironia al crollo del suo impero digitale.
Il Rhadamanthys era un tipico esempio di “malware-as-a-service”: un prodotto venduto come abbonamento, accessibile anche a chi non possedeva competenze tecniche avanzate. A partire da 300 dollari al mese, gli acquirenti potevano utilizzare versioni personalizzate del software per sottrarre dati sensibili a imprese e utenti comuni. Secondo Proofpoint, nel 2025 la sua diffusione ha raggiunto livelli record grazie all’uso di siti compromessi e campagne pubblicitarie ingannevoli. L’operazione Endgame ha interrotto questo flusso, ma la struttura commerciale che alimenta tali piattaforme resta attiva e in continua evoluzione.
Un campanello d’allarme per le aziende digitali
La vicenda dimostra quanto i malware-as-a-service rappresentino ancora una minaccia concreta per chi lavora nel digitale. Molte vittime di Rhadamanthys non erano consapevoli dell’infezione dei propri sistemi, segno che la protezione informatica è spesso ancora troppo superficiale. Le aziende tecnologiche devono rafforzare le proprie difese, estendendo la sicurezza anche ai fornitori terzi: la supply chain è oggi uno dei punti più vulnerabili. Collaborare con le autorità e adottare soluzioni di threat intelligence non è più un’opzione, ma una parte integrante della gestione del rischio.
L’operazione Endgame è un segnale politico e tecnologico: la sicurezza digitale non dipende più solo dai firewall o dagli antivirus, ma da una rete di cooperazione tra pubblico e privato. È lì che si gioca la vera partita del prossimo decennio.
Oltre a Rhadamanthys, la stessa operazione ha colpito anche le infrastrutture dei malware Elysium e VenomRAT, portando all’arresto di un sospettato in Grecia e a perquisizioni in Germania e nei Paesi Bassi. La dimensione dell’intervento conferma che la criminalità informatica opera ormai su scala industriale e che la risposta deve essere altrettanto organizzata, continua e globale. L’Europa ha mostrato che è possibile passare dalle parole ai fatti, ma la battaglia per la sicurezza dei dati è solo all’inizio.
