In 2025 kreeg Operation Endgame meerdere vervolgacties. Waarbij de eerste grote actieronde in mei 2024 vooral was gericht op het ontmantelen van botnets en dropper-malware, verschoof de aandacht in 2025 naar drie sporen: (1) gebruikers en klanten van eerder ontmantelde malwarediensten, (2) nieuwe of teruggekeerde botnets en malwarevarianten, en (3) ondersteunende diensten in het cybercriminele ecosysteem.

Europol omschrijft Operation Endgame als een doorlopende operatie tegen botnets en criminele infrastructuur, gericht op onder meer ransomware-enablers, malware voor initiële toegang en het koppelen van online aliassen aan echte personen.

Op 9 april 2025 berichtten Europol en de Nederlandse politie over een follow-up op de 2024-actie. Die richtte zich met name op klanten van het Smokeloader-botnet, dat volgens Europol werd beheerd door een verdachte met de nickame “Superstar”. Smokeloader werd aangeboden als pay-per-install-dienst, waarmee klanten toegang konden krijgen tot besmette computers om vervolgens eigen malware te plaatsen, bijvoorbeeld voor keylogging, webcamtoegang, ransomware, cryptomining of andere criminele doeleinden.

Later in het jaar volgden nieuwe actierondes. In de week van 19 mei 2025 werden opnieuw meerdere botnets en malwarediensten aangepakt, waaronder Bumblebee, Qakbot, Danabot, Hijackloader, Warmcookie, Trickbot en Latrodectus (Politie.nl).

Op 13 november 2025 volgde nog een grote actie tegen onder meer de infostealer Rhadamanthys, de Remote Access Trojan VenomRAT en het botnet Elysium (Politie.nl). De novemberactie werd volgens Europol tussen 10 en 13 november 2025 gecoördineerd vanuit het Europol-hoofdkwartier in Den Haag. Operation Endgame werd daarbij uitgevoerd door opsporings- en justitiële autoriteiten uit onder meer Australië, België, Canada, Denemarken, Frankrijk, Duitsland, Griekenland, Litouwen, Nederland, het Verenigd Koninkrijk en de Verenigde Staten, met coördinatie door Europol en Eurojust.

Opsporing en aanpak

De vervolgactie van april 2025 kwam voort uit gegevens die in mei 2024 waren veiliggesteld. Europol meldt dat de in 2024 in beslag genomen database opsporingsdiensten hielp om online gebruikersnamen en aliassen te koppelen aan echte personen. Daarmee richtte deze fase zich niet alleen op de aanbieders van malwarediensten, maar juist ook op de vraagkant van het criminele ecosysteem: de klanten die toegang of installs hadden gekocht.

De Nederlandse politie speelde daarbij een belangrijke rol. In Nederland werd in februari 2025 in Beverwijk een man aangehouden die ervan werd verdacht malware te hebben aangekocht. Volgens de politie kocht hij vermoedelijk via Telegram zogenoemde installs voor het Smokeloader-botnet, waardoor hij toegang kreeg tot mogelijk honderden met Smokeloader besmette computers. Het onderzoek werd uitgevoerd door het Team High Tech Crime van de Eenheid Landelijke Opsporing en Interventies (Politie.nl). 

In mei 2025 werd Operation Endgame verder opgeschaald. Volgens de politie vond vanaf 19 mei 2025 een internationale actieweek plaats waarin meerdere botnets werden ontmanteld. In Nederland gebeurde dit door de politie onder leiding van het Landelijk Parket van het Openbaar Ministerie. Wereldwijd werden meer dan 300 servers offline gehaald, waarvan 60 servers in Nederlandse datacentra. (politie.nl)

Op 30 mei 2025 meldde de politie daarnaast dat in een gecoördineerde operatie met de Verenigde Staten en Finland de dienst AVCheck uit de lucht was gehaald. AVCheck was volgens de politie een van de grootste Counter Antivirus (CAV)-diensten die door cybercriminelen werd gebruikt om te testen of malware door antivirusprogramma’s werd herkend. Deze actie hing nauw samen met Operation Endgame, omdat dergelijke diensten worden gebruikt bij het verkrijgen van initiële toegang tot slachtoffernetwerken.

Arrestaties en Nederlandse strafzaak?

De follow-up van april 2025 leidde volgens Europol wereldwijd tot vijf arrestaties. In Nederland werd, zoals al gezegd, in februari 2025 een verdachte uit Beverwijk aangehouden vanwege het vermoedelijk aankopen van Smokeloader-installs. De politie benadrukte daarbij dat ook afnemers van crime-as-a-service-diensten strafbaar kunnen zijn en dat zij niet anoniem zijn gebleven. Naar aanleiding van deze arrestaties is op het moment van schrijven nog geen uitspraak over beschikbaar.

Tijdens de actieweek van mei 2025 werden daarnaast 20 verdachte cybercriminelen op de Europe’s Most Wanted Fugitives-lijst geplaatst. Deze verdachten werden in verband gebracht met criminele samenwerkingsverbanden achter onder meer Trickbot en Qakbot. Parallel daaraan vaardigden Amerikaanse opsporingsautoriteiten aanklachten uit tegen 17 verdachten.

Bij de novemberactie werd de hoofdverdachte achter VenomRAT op 3 november 2025 aangehouden in Griekenland. Tijdens de actiedagen vonden wereldwijd 11 doorzoekingen plaats: 9 in Nederlandse datacenters, één in Duitsland en één in Griekenland.

Op de website Operation Endgame zijn de actualiteiten te vinden met betrekking tot Operation Endgame.

Verstoring

In november 2025 werden wereldwijd 1.025 servers (!) neergehaald of verstoord, waarvan 83 in Nederland. Daarnaast werden 20 domeinnamen in beslag genomen. De operatie richtte zich toen op Rhadamanthys, VenomRAT en Elysium. Volgens Europol bestond de ontmantelde infrastructuur uit honderdduizenden geïnfecteerde computers met meerdere miljoenen gestolen inloggegevens. De hoofdverdachte achter de infostealer had vermoedelijk toegang tot meer dan 100.000 cryptowallets van slachtoffers, mogelijk ter waarde van miljoenen euro’s.

Daarnaats werden gebruikers van criminele diensten werden direct benaderd door de politie, onder meer om hen te wijzen op strafbaarheid en om relevante informatie te delen via het Operation Endgame Telegram-kanaal.

Ook is er een video over de ‘Superstar customers’ geplaatst op Youtube: