Hành động chung này, được điều phối bởi Cơ quan Cảnh sát châu Âu (Europol) và Cơ quan Hợp tác Tư pháp Hình sự Liên minh châu Âu (Eurojust), đồng hành bởi nhiều đối tác tư nhân hỗ trợ, bao gồm Cryptolaemus, Shadowserver, Spycloud, Cymru, Proofpoint, CrowdStrike, Lumen, Abuse.ch, HaveIBeenPwned, Spamhaus, DIVD và Bitdefender.

Từ ngày 10 đến ngày 14/11/2025, cảnh sát đã tiến hành khám xét tại 11 địa điểm ở Đức, Hy Lạp và Hà Lan, thu giữ 20 tên miền và phá hủy 1.025 máy chủ được các tác nhân đe dọa nhắm mục tiêu sử dụng.

Giai đoạn này của chiến dịch cũng dẫn đến việc bắt giữ một nghi phạm chính tại Hy Lạp vào ngày 3/11 và có liên quan đến Trojan truy cập từ xa VenomRAT.

Ngày 13/11, Europol cho biết trong thông cáo báo chí: “Cơ sở hạ tầng phần mềm độc hại bị phá hủy bao gồm hàng trăm nghìn máy tính bị lây nhiễm chứa hàng triệu thông tin đăng nhập bị đánh cắp. Nhiều nạn nhân không hề hay biết hệ thống của họ đã bị nhiễm mã độc. Nghi phạm chính đứng sau vụ đánh cắp thông tin này đã truy cập vào hơn 100.000 ví tiền điện tử của các nạn nhân, trị giá có thể lên đến hàng triệu Euro”.

Europol khuyến cáo nên sử dụng politie.nl/checkyourhack và haveibeenpwend.com để kiểm tra xem máy tính có bị nhiễm các loại phần mềm độc hại này hay không.

Biểu ngữ thu giữ trên trang Tor của Rhadamanthys

Nhà phát triển Rhadamanthys cho biết, họ tin rằng cơ quan thực thi pháp luật của Đức đứng sau vụ gián đoạn này, vì các bảng điều khiển web được lưu trữ tại các trung tâm dữ liệu của Liên minh châu Âu (EU) đã ghi lại các địa chỉ IP của Đức kết nối trước khi tội phạm mạng mất quyền truy cập.

Hành động chung lần này cũng nhắm vào cơ sở hạ tầng mã độc tống tiền, trang web AVCheck, máy chủ và khách hàng của botnet Smokeloader, cũng như các hoạt động phần mềm độc hại lớn khác, chẳng hạn như DanaBot, IcedID, Pikabot, Trickbot, Smokeloader, Bumblebee và SystemBC.