Lo que hacía a Glassworm excepcionalmente resistente era su infraestructura de comando y control (C2) multicanal. Los operadores evitaron puntos únicos de fallo al enrutar las comunicaciones a través de cuatro canales distintos y redundantes .
Esta arquitectura en capas era el núcleo de la naturaleza "indestructible" de la botnet. Derribar uno o dos canales dejaría el resto completamente funcional, permitiendo a los operadores reconstituir rápidamente su control .
El único camino viable para la disrupción era un ataque simultáneo contra los cuatro canales de C2. CrowdStrike describió el desafío con claridad: "Interrumpir esta arquitectura requería precisión y sincronización. Derribar un solo canal habría dejado los demás operativos, permitiendo a los operadores reconstituirse rápidamente" .
A las 14:00 UTC del 26 de mayo, la coalición ejecutó una acción coordinada con precisión que cortó la conexión entre los operadores de la botnet y su red global de máquinas infectadas . Esto no eliminó automáticamente el malware GlasswormRAT de los equipos comprometidos, pero sí bloqueó la capacidad de los operadores para emitir nuevas órdenes o entregar nuevas cargas maliciosas
. La operación neutralizó efectivamente la capacidad ofensiva de la botnet, aunque el malware permanece como una amenaza latente en un número desconocido de máquinas en todo el mundo
.
La evaluación de inteligencia de CrowdStrike atribuyó la operación Glassworm a ciberdelincuentes probablemente con base en Rusia . El enfoque del grupo en la cadena de suministro de software de código abierto representa una peligrosa evolución en la estrategia de los actores de amenazas, pasando de atacar a las organizaciones del usuario final a envenenar a los propios desarrolladores y las herramientas de las que estas dependen.
La disrupción es una victoria defensiva crítica, pero no una cura. CrowdStrike ha recomendado una serie de pasos concretos de remediación para que las organizaciones identifiquen y limpien cualquier sistema infectado .