A Europol anunciou a prisão de pelo menos cinco indivíduos ligados ao uso do malware SmokeLoader, após rastreamento baseado em uma base de dados previamente apreendida. A operação, parte da iniciativa internacional chamada “Operation Endgame”, visa o lado da demanda no ecossistema do cibercrime. Os detidos eram clientes de um serviço “pay-per-install” operado por um ator conhecido como “Superstar”, que permitia instalar cargas maliciosas em máquinas comprometidas. 

Essas ações envolviam roubo de dados, acesso a webcams, instalação de ransomware e mineração de criptomoedas. Participaram da operação autoridades do Canadá, República Tcheca, Dinamarca, França, Alemanha, Países Baixos e Estados Unidos. Os suspeitos foram identificados por meio de suas credenciais digitais registradas na base de dados, ligando suas identidades online às reais. Alguns aceitaram colaborar e permitir a análise de seus dispositivos para coleta de provas.

Segundo a Europol, alguns dos envolvidos revendiam o serviço com lucro, o que gerou ainda mais interesse nas investigações. Muitos acreditavam que já não estavam mais sob vigilância, sendo surpreendidos pelas ações policiais. Além do SmokeLoader, a Europol mencionou o combate a outros loaders como IcedID, Bumblebee, TrickBot, e SystemBC. Paralelamente, campanhas de phishing continuam a propagar novos loaders como ModiLoader, Legion Loader, e Koi Loader, explorando técnicas como pastejacking, disfarces de atualizações e evasão de análise virtual.