La Operación Endgame elimina el malware DanaBot y neutraliza 300 servidores

En una importante operación internacional coordinada por Europol y Eurojust, las fuerzas de seguridad y los socios del sector privado han desmantelado con éxito la red de malware DanaBot.

Este esfuerzo global, parte de la Operación Endgame , en curso, resultó en cargos federales contra 16 personas, la neutralización de aproximadamente 300 servidores y 650 dominios en todo el mundo entre el 19 y el 22 de mayo de 2025, y la emisión de órdenes de arresto internacionales contra 20 objetivos. Durante la Operación Endgame, se incautaron más de 21,2 millones de euros en criptomonedas, incluyendo 3,5 millones de euros durante esta última semana de operaciones.

El malware DanaBot, controlado por una organización de ciberdelincuencia con sede en Rusia, infectó más de 300.000 ordenadores en todo el mundo, causando daños estimados en al menos 50 millones de dólares mediante fraude y ransomware. Entre los acusados ​​por el Departamento de Justicia de EE. UU. se encuentran Aleksandr Stepanov, de 39 años, y Artem Aleksandrovich Kalinkin, de 34, ambos de Novosibirsk, Rusia, quienes siguen prófugos.

DanaBot, identificado por primera vez en mayo de 2018, operaba como malware como servicio (MaaS), ofreciendo sus capacidades a otros delincuentes. Era muy versátil: robaba credenciales bancarias, historial de navegación e incluso información de monederos de criptomonedas, además de ofrecer acceso remoto, registro de pulsaciones de teclas y grabación de pantalla. Las infecciones iniciales solían provenir de correos electrónicos no deseados. Hackread.com informó sobre la aparición de DanaBot en 2019, cuando los investigadores de Proofpoint detallaron por primera vez su propagación.

ESET, que ha seguido de cerca a DanaBot desde 2018, confirmó su evolución hasta convertirse en un malware bancario de primer nivel, y señaló que países como Polonia, Italia, España y Turquía estaban históricamente entre los más atacados.

El investigador de ESET Tomáš Procházka agregó : “Además de exfiltrar datos confidenciales, hemos observado que Danabot también se utiliza para enviar más malware, que puede incluir ransomware, a un sistema ya comprometido”.

Más recientemente, se ha encontrado una nueva versión de DanaBot oculta en claves de software pirateado para “VPN gratuito, software antivirus y juegos pirateados”, engañando a los usuarios que descargan desde sitios falsos.

Más allá de los delitos financieros, la investigación reveló el siniestro doble propósito de DanaBot. Una variante, rastreada por CrowdStrike como SCULLY SPIDER, atacaba a entidades militares, diplomáticas y gubernamentales en Norteamérica y Europa con fines de espionaje, y ESET observó que lanzaba ataques DDoS contra objetivos como el Ministerio de Defensa de Ucrania tras la invasión rusa.

Según el comunicado de prensa de Europol, este operativo masivo demuestra la amplia cooperación internacional. La investigación fue liderada por la Oficina de Campo de Anchorage del FBI y el Servicio de Investigación Criminal de Defensa (DCIS), con la importante colaboración del Bundeskriminalamt (BKA) de Alemania, la Policía Nacional de los Países Bajos y la Policía Federal Australiana.

Europol y Eurojust proporcionaron una coordinación crucial, con un puesto de mando en la sede de Europol en el que participaron investigadores de Canadá, Dinamarca, Francia, Alemania, Países Bajos, Reino Unido y Estados Unidos.

Numerosas empresas privadas de ciberseguridad proporcionaron asistencia técnica crucial, entre ellas Amazon, CrowdStrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint , Team Cymru y ZScaler. ESET Research contribuyó específicamente al análisis técnico del malware y su infraestructura de backend, además de identificar los servidores de comando y control de DanaBot.

Las autoridades alemanas añadirán 18 sospechosos a la lista de los más buscados de la UE a partir del 23 de mayo de 2025. Esta acción coordinada supone un duro golpe a las redes cibercriminales y demuestra el poder de las alianzas globales contra las crecientes amenazas a la ciberseguridad.

La Operación Endgame tiene como objetivo romper la cadena de ataque del ransomware. Hasta el momento, las autoridades han neutralizado malware de acceso inicial como Bumblebee , Latrodectus , Qakbot , Hijackloader , Trickbot y Warmcookie .