Die Maßnahme war Teil der Operation Endgame, einer groß angelegten Strafverfolgungsaktion gegen Cyberkriminalität. Nach Angaben der Behörden waren die niederländische NHCTU, die kanadische RCMP, das FBI in den USA und das deutsche BKA beteiligt. Gemeinsam bereinigten sie 14.971 kompromittierte WordPress-Websites und nahmen 106 Server und Domains offline, die mit dem SocGholish-Botnetz in Verbindung standen.

Die niederländische Polizei entfernte von den betroffenen Seiten sowohl die Malware als auch Backdoors. Zudem empfahl sie den Betreibern, ihre Zugangsdaten zu ändern, Mehrfaktor-Authentifizierung einzuschalten, unbekannte WordPress-Konten zu löschen und die jeweilige WordPress-Seite auf dem neuesten Stand zu halten.

Maikel Rollman von der niederländischen National High Tech Crime Unit erklärte, mit diesen Maßnahmen werde Cyberkriminellen der Zugriff auf infizierte Computersysteme entzogen. Das verhindere weitere Schäden an digitalen Systemen von Bürgern, Unternehmen und Organisationen weltweit und begrenze zugleich die Verbreitung der Malware. Zugleich werde das Risiko gesenkt, dass diese Systeme für Cyberangriffe auf kritische Infrastruktur und andere wesentliche gesellschaftliche Prozesse genutzt werden. Rollman bezeichnete die Aktion als Beginn weiterer Maßnahmen gegen SocGholish.

SocGholish ist ein JavaScript-basierter Malware-Downloader, der auch unter den Bezeichnungen FakeUpdates und GhoLoader verfolgt wird. Laut dem Quelltext wird die Schadsoftware mindestens seit 2017 bei Angriffen eingesetzt. Sie kompromittiert legitime Websites, vor allem WordPress-Seiten, und bringt Besucher dazu, schädliche Nutzlasten herunterzuladen, die häufig als gefälschte Browser-Updates getarnt sind.

Installiert ein Nutzer ein solches manipuliertes Update, baut die Malware eine Verbindung zu den Angreifern auf und verschafft ihnen Zugriff auf das infizierte System. SocGholish wurde außerdem dazu verwendet, weitere Malware-Familien nachzuladen, darunter Dridex, Doppelpaymer, Empire, Koadic, Chtonic und Azorult.

Die Schadsoftware wurde bereits zuvor mit Evil Corp in Verbindung gebracht. Die russische Cybercrime-Gruppe ist seit 2007 aktiv und wurde laut Quelltext mit den Malware-Familien Zeus und Dridex sowie mit den Ransomware-Operationen WastedLocker, Hades, Macaw Locker und Phoenix CryptoLocker in Verbindung gebracht.

Operation Endgame hatte schon zuvor weitere Malware-Infrastrukturen im Visier. Im November nahmen Strafverfolgungsbehörden im Rahmen der Operation nach Angaben des Quelltexts mehr als 1.000 Server vom Netz, die von den Botnetz-Malware-Operationen Rhadamanthys, VenomRAT und Elysium genutzt wurden. Frühere Maßnahmen richteten sich außerdem gegen Ransomware-Infrastruktur, Kunden und Server des Smokeloader-Botnetzes, die Website AVCheck sowie weitere größere Malware-Operationen, darunter DanaBot, IcedID, Pikabot, Trickbot, Smokeloader, Bumblebee und SystemBC.