C’è una regola non scritta, nel sottobosco digitale, che chi fornisce infrastrutture “bulletproof” – quelle che ignorano deliberatamente abuse report e richieste delle forze dell’ordine – siano in qualche modo intoccabili. Una certezza che, per molti cybercriminali, si è dissolta tra il 10 e il 13 novembre 2025, quando le forze di polizia olandesi hanno spento i server di CrazyRDP. Attività inquadrata nella più ampia recente Endgame Operation 3.
Non si è trattato di un semplice sequestro di macchine. È stata una chirurgica, coordinata disintegrazione di un pilastro portante dell’ecosistema criminale. Migliaia di server, un intero Autonomous System Number (ASN), e il dominio principale, crazyrdp.com, sono stati portati offline. Un’operazione che non ha semplicemente arrestato dei sospetti, ma ha strappato via le radici stesse di dozzine di operazioni illecite.
CrazyRDP non era un hosting provider qualunque. Era un fornitore “bulletproof” nel senso più cinico del termine. La sua pubblicità, con diciture come “DMCA ignored hosting”, era un esplicito invito per chi cercava un porto sicuro per attività criminali. E la clientela ha risposto presente: le indagini lo collegano ad almeno 80 inchieste di polizia in tutto il mondo, che spaziano dalle campagne ransomware alla distribuzione di materiale pedopornografico. Ora potrebbero emergere dettagli rilevanti circa l’utilizzo di CrazyRDP anche da parte di terze parti, più note e che hanno il modello organizzativo di attività lecite a tutti gli effetti: notizie che potrebbero stupire e che aggiornerò su questo articolo qualora emergessero.
L’azione olandese, coordinata da Europol ed Eurojust, ha colpito al cuore il modello di business del cybercrime moderno. Perché oggi un ransomware group non è un singolo hacker geniale, ma un’azienda che ha bisogno di infrastrutture resilienti: server di comando e controllo, piattaforme per i negoziati, siti per il data leaking. CrazyRDP forniva proprio questo: l’immobilità in un mondo in fuga.
La portata tecnica del takedown è significativa. Non è bastato sequestrare singoli IP. È stato necessario prendere il controllo dell’intero ASN, l’aggregato di reti che annunciava al mondo la raggiungibilità degli indirizzi di CrazyRDP. È l’equivalente digitale di staccare non solo la spina di un computer, ma di disattivare l’intera cabina elettrica di un quartiere. Ogni operazione criminale che vi si appoggiava ha perso istantaneamente la connessione: botnet sono rimaste orfane, infostealer hanno smesso di esfiltrare dati, i portali per il pagamento dei riscatti sono diventati irraggiungibili.
Questa fase dell’Operazione Endgame ha preso di mira tre minacce specifiche la cui infrastruttura poggiava su CrazyRDP: il temibile infostealer Rhadamanthys, il RAT VenomRAT e il botnet Elysium. Rhadamanthys, in particolare, era una vera e propria fabbrica di credenziali rubate, con oltre 525.000 infezioni uniche registrate e un bottino di 86.2 milioni di “eventi di furto informativo”. Numeri che danno la misura di un’economia sotterranea fiorente, fatta di credenziali bancarie, chiavi di portafogli crypto e cookie di sessione rivenduti nei forum criminali.
L’arresto in Grecia del principale sospetto dietro VenomRAT, avvenuto il 3 novembre, aggiunge un tassello cruciale al quadro. Le autorità riferiscono che l’individuo aveva accesso a più di 100.000 portafogli di criptovaluta. Un dato che non solo suggerisce profitti illeciti di vasta entità, ma evidenzia come il furto di cripto-attività sia ormai un driver economico primario per queste operazioni.
Quello che colpisce, al di là dei numeri, è la strategia. Operation Endgame non sta più solo inseguendo i criminali, sta smontando il loro parco macchine. Stan Duijf, a capo delle operazioni dell’unità olandese, ha colto nel segno: “Abbattendo l’infrastruttura criminale, l’intero modello di business di molti cybercriminali è stato disturbato”. È una guerra di logoramento contro la comodità del male.
Per la comunità della sicurezza, il lavoro ora è di threat hunting e remediation. La piattaforma ThreatFox di abuse.ch ha pubblicato gli Indicator of Compromise (IOC) relativi a tutte le fasi di Endgame, offrendo ai defender la possibilità di setacciare le proprie reti alla ricerca di compromissioni passate o presenti. E per le potenziali vittime, le autorità olandesi hanno messo a disposizione il portale politie.nl/checkjehack, da consultare periodicamente man mano che i dati sequestrati vengono analizzati.
La caduta di CrazyRDP dimostra che il concetto di “bulletproof” è, in definitiva, un’illusione quando l’attenzione delle forze dell’ordine si concentra non sul singolo attore, ma sull’infrastruttura che lo abilita. È un cambio di paradigma fondamentale. Non si arresta il passeggero, si disintegra la stazione.
Il gioco, come suggerito dal nome in inglese, non è finito. Nuovi provider emergeranno per raccogliere la clientela di CrazyRDP. Ma il messaggio è chiaro: il costo operativo per fornire “ospitalità” al crimine sta salendo. E in un ecosistema dove l’affidabilità è tutto, anche per i cattivi, l’affidarsi a un servizio i cui server possono evaporare da un giorno all’altro è un rischio che sempre meno “imprenditori” del digitale saranno disposti a correre.
La partita continua, ma il tavolo da gioco è diventato molto più instabile.