DeafNews
// 1 ZERO-DAY · 2 CVE · 1 EXPLOIT NELLE ULTIME 24H
Malware

Amadey/StealC: 27M credenziali recuperate, $47M crypto bloccati

Published: Updated: By DeafSuite team 8 min read Malware
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Operation Endgame ha smantellato due network malware-as-a-service. Ecco perché la teoria legale RICO cambia le regole del gioco e cosa significa per chi usa password

L'operazione Endgame, condotta dal 15 al 19 giugno 2026 da forze dell'ordine di otto paesi, ha smantellato due ecosistemi malware-as-a-service attivi dal 2018 e dal 2023. Il risultato: circa 27 milioni di credenziali recuperate, quasi 47 milioni di dollari in criptovaluta criminale bloccati e il controllo criminale reciso su 18.000 computer vittima. La novità non è solo tecnica: Microsoft ha ottenuto un'azione civile unificata sotto il RICO Act, trattando Amadey e StealC come un'unica cospirazione criminale.

Punti chiave
  • Dal 15 al 19 giugno 2026, Belgio, Canada, Danimarca, Francia, Germania, Paesi Bassi, Regno Unito e Stati Uniti hanno coordinato lo smantellamento di 326 server e 142 domini legati ai malware Amadey e StealC.
  • Microsoft ha identificato 18.000 computer vittima e ne ha interrotto il controllo criminale; Proofpoint e IBM X-Force hanno sfruttato una vulnerabilità nel pannello C2 di StealC per ribaltare l'infrastruttura degli attaccanti.
  • L'azione legale unificata sotto il RICO Act tratta i due ecosistemi malware come una singola cospirazione criminale, aprendo un precedente per future operazioni multi-tool.
  • Nessun arresto è stato effettuato; fonti vicine all'indagine avvertono che la ricostruzione dell'infrastruttura potrebbe avvenire nel giro di settimane.

Due assembly line, un unico cavo di alimentazione

Amadey e StealC non sono la stessa operazione criminale. Amadey, attivo dal 2018, funziona come loader: acquistato a circa 600 dollari più 50 per ogni rebuild, distribuisce payload secondari a insaputa dell'utente. StealC, emerso nel 2023, è un infostealer specializzato nel furto di credenziali salvate nei browser, con abbonamenti da 300 dollari al mese o 1.000 per sei mesi.

Secondo ESET, le due reti contavano 53 cluster affiliati per Amadey e 73 per StealC. Ciascun affiliato riceveva un pannello di amministrazione self-hosted, da installare su propri server. Questo modello distribuito rende tecnicamente difficile trattare gli operatori come un'unica organizzazione: sono cellule indipendenti che condividono solo il codice base.

Il punto di convergenza è stato l'infrastruttura C2. Microsoft ha individuato 200 domini e indirizzi IP malevoli condivisi tra le due famiglie. Da qui la svolta legale: se gli strumenti si alimentano dagli stessi server, il RICO Act permette di considerarli parte di un'unica impresa criminale, anche senza provare che gli operatori si conoscano o si coordino direttamente.

Il bug che ha trasformato il pannello degli attaccanti in un'arma a doppio taglio

La componente tecnica più aggressiva è venuta da Proofpoint e IBM X-Force. I ricercatori hanno scoperto una vulnerabilità di directory traversal nel pannello di controllo C2 di StealC, che permetteva il caricamento di una web shell. La falla è stata patchata a febbraio 2026, ma il suo sfruttamento durante l'operazione ha permesso di accedere all'infrastruttura degli operatori e di estrarre dati utili alla neutralizzazione.

ESET ha fornito chiavi di crittografia, server C&C e identificatori di campagna, contribuendo alla disattivazione di circa 50 domini e quasi 200 server C2 attivi. La Royal Canadian Mounted Police ha sviluppato una tecnica di disinfezione di massa che ha ripulito 2.488 computer in tutto il mondo. Parallelamente, 14.971 siti WordPress compromessi dal componente SocGholish sono stati messi in sicurezza.

I numeri si sovrappongono parzialmente. TechTimes, citando Proofpoint e IBM X-Force, specifica 25,6 milioni di credenziali uniche da oltre 385.000 sistemi compromessi per la sola componente Amadey/StealC. Il dato aggregato di 27 milioni, diffuso da Europol, include anche il contributo SocGholish. La discrepanza è rilevante per chi valuta l'esposizione specifica dei due infostealer.

"The main common goal was to disrupt the 'assembly lines' cybercriminals use to launch ransomware, financial fraud, and attacks on critical infrastructure" — Europol

Il trucco del RICO: perché un'azione civile batte il carcere (per ora)

Steven Masada, assistant general counsel della Microsoft Digital Crimes Unit, ha spiegato la strategia: "Quando più parti di un'operazione vengono interrotte insieme, gli attacchi sono più difficili da lanciare, scalare e recuperare". Il RICO Act, concepito per i casi di mafia tradizionale, richiede di dimostrare un'impresa criminale condivisa: l'infrastruttura C2 comune ha fornito il collante legale.

Microsoft ha impiegato l'intelligenza artificiale—nella fattispecie Copilot—per comprimere la preparazione dell'indagine da giorni a minuti, secondo quanto riportato da CyberScoop. Il contributo specifico dell'AI rispetto ai metodi investigativi tradizionali non è tuttavia quantificato nei documenti disponibili.

L'assenza di arresti è il limite più evidente. Europol non ha confermato l'identificazione dei vertici, e TechRadar riporta esplicitamente che nessuna custodia cautelativa è stata eseguita. Questo rende l'operazione una vittoria infrastrutturale ma non individuale: gli operatori rimangono liberi e potenzialmente in grado di ricostruire.

Cosa fare adesso

  • Verificare l'esposizione su Have I Been Pwned. Le credenziali recuperate dalla componente SocGholish sono state integrate nel servizio; per Amadey/StealC l'integrazione non è confermata al momento della pubblicazione.
  • Attivare l'autenticazione a due fattori su tutti gli account critici. Le credenziali rubate da infostealer sono principalmente password salvate nel browser; il 2FA ne annulla l'utilità anche se esfiltrate.
  • Cambiare le password salvate nei browser nei mesi precedenti l'operazione. L'infezione da StealC risale al 2023; il periodo di esposizione potenziale è ampio e non circoscritto alla sola finestra dell'operazione.
  • Monitorare le attività sospette su account finanziari e professionali. I dati rubati da infostealer alimentano frodi di livello successivo, incluso il ransomware: LockBit Black è stato distribuito tramite XTinyLoader caricato da StealC.

Il precedente che cambia l'economia dell'interruzione

L'operazione Endgame non è la prima della serie: fasi precedenti hanno colpito IcedID, Smokeloader, DanaBot e Lumma Stealer tra il 2024 e il 2025. Questa iterazione però innalza il livello. Unificare legalmente tool distinti attraverso la loro infrastruttura condivisa significa che i prossimi takedown potranno essere più ampi e più rapidi, bypassando la necessità di mappare gerarchie criminali prima di agire.

Il rischio è che questo approccio diventi un'anestesia. Senza arresti, il costo per gli operatori di ricostruire è basso: i server sono commodity, i domini si riacquistano, i panel si riscrivono. La storia dei takedown di malware-as-a-service mostra cicli di interruzione e resurrezione che misurano settimane, non anni. Il valore reale dell'operazione risiede nel modello legale che ha permesso di colpire l'intero nastro trasportatore, non solo la singola macchina.

Per l'utente finale, la lezione è più concreta: 27 milioni di credenziali non sono un problema astratto di geopolitica digitale. Sono password di email, banche, servizi cloud, estratte da browser che molti considerano sicuri per impostazione predefinita. Il salvataggio automatico è comodo. È anche il primo bersaglio.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Altri contenuti collegati

  • SBU-FBI: campagna russa hacker account messaggistica
  • Miasma: il malware che trasforma npm in trappola per sviluppatori
  • CL-STA-1062: da hosting taiwanese a centrali elettriche con backdoor TinyRCT

Fonti

Fonti e riferimenti
  1. thehackernews.com
  2. welivesecurity.com
  3. cyberscoop.com
  4. helpnetsecurity.com
  5. techradar.com
  6. techtimes.com