在“终局行动（Operation Endgame）”的后续行动中，执法部门追踪到了“Smokeloader”僵尸网络的客户，并拘留了至少5人。

在去年的“终局行动”中，超过100台主要恶意软件加载操作（如IcedID、Pikabot、Trickbot、Bumblebee、Smokeloader、SystemBC）使用的服务器被查获。

在今年的新闻发布会上，欧洲刑警组织表示，执法人员正在分析被扣押服务器上的数据，并正在追踪恶意企业的客户，行动仍在继续。该机构没有提供被拘留人员的任何细节，并表示调查还导致了审讯和服务器关闭。

据调查人员称，Smokeloader是由一个化名为“Superstar”的威胁者运行的，他提供了按安装付费的僵尸网络服务，允许客户访问受害者的机器。

在一系列协调一致的行动中，Smokeloader按安装付费僵尸网络的用户面临着逮捕、搜查房屋、逮捕令或‘敲门谈话’等后果。

Smokeloader被用于各种网络犯罪活动，从部署勒索软件和运行加密矿工到访问网络摄像头和记录击键。

在“终局行动”中缴获的一个数据库中，包括了Smokeloader僵尸网络服务的注册用户，警方可以通过将网络犯罪分子的网络化名与现实生活中的个人联系起来，追踪网络犯罪分子。

一些嫌疑人选择与执法部门合作，允许检查他们个人设备上的数字证据。由于“终局行动”仍在继续，欧洲刑警组织设立了一个专门的网站，分享有关犯罪活动调查的最新消息。

此外，为了更好地了解行动的各个阶段，还发布了一系列动画视频，描述了警察的活动，以及他们是如何追踪Smokeloader组织的分支机构和客户的。

欧盟机构鼓励任何掌握有关被调查犯罪活动信息的人通过“终局行动”网站与当局联系，该网站也方便地翻译成俄语。

在去年大规模关闭恶意软件加载程序之后，欧盟对六名参与网络攻击的个人实施了一系列制裁，这些攻击影响了与“关键基础设施、关键国家功能、机密信息的存储或处理以及欧盟成员国政府应急小组”相关的系统。

美国财政部还制裁了加密货币交易所Cryptex和PM2BTC，包括俄罗斯勒索软件团伙在内的多个网络犯罪集团曾利用这两家交易所进行非法行为。

参考及来源：https://www.bleepingcomputer.com/news/security/police-detains-smokeloader-malware-customers-seizes-servers/