DeafNews
// 4 ZERO-DAY · 4 CVE · 3 EXPLOIT NELLE ULTIME 24H
News

Operazione Endgame smantella 326 server di Amadey e StealC, il primo RICO

Published: Updated: By DeafSuite team 8 min read News
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Un'azione internazionale coordinata tra forze dell'ordine e settore privato ha smantellato tra il 15 e il 19 giugno 2026 l'infrastruttura condivisa di Amadey loader
{"main_topic":"malware","topics":["malware","infostealer","cybersec","law-enforcement","ai"]}

Un'azione internazionale coordinata tra forze dell'ordine e settore privato ha smantellato tra il 15 e il 19 giugno 2026 l'infrastruttura condivisa di Amadey loader e StealC infostealer: 326 server, 142 domini e oltre 200 endpoint di comando e controllo sequestrati o disattivati, circa 27 milioni di credenziali rubate recuperate da 385.000 sistemi compromessi, e oltre 47 milioni di dollari in criptovalute criminali bloccati. La novità non è solo tecnica: per la prima volta il Racketeer Influenced and Corrupt Organizations Act (RICO) è stato usato per trattare due famiglie malware distinte come un'unica cospirazione, aprendo una linea giuridica che potrebbe ridefinire l'economia del contrasto ai servizi criminosi come Malware-as-a-Service.

Punti chiave
  • L'operazione ha recuperato circa 27 milioni di credenziali da 385.000 sistemi compromessi e identificato oltre 47 milioni di dollari in asset criptovalutari criminali, secondo Europol.
  • Microsoft ha isolato oltre 18.000 computer vittima, ma i dati di maggio 2026 indicano più di 140.000 infezioni combinate solo nelle prime due settimane: la maggioranza delle macchie rimane sconosciuta alle vittime.
  • L'analisi AI di Microsoft ha rivelato che Amadey (attivo dal 2018) e StealC (dal 2023) condividevano infrastrutture C&C, consentendo un'azione legale unica sotto il RICO Act contro entrambi.
  • ESET ha mappato 53 cluster affiliati di Amadey con metodologia di clustering basata su chiavi RC4 e identificatori di build; Proofpoint e IBM X-Force hanno sfruttato una vulnerabilità nel pannello C2 di StealC per estrarre configurazioni.

Come Amadey e StealC condividevano lo stesso "asfalto" digitale

Amadey e StealC sono due operazioni tecnicamente indipendenti. Amadey, presente dal 2018 nella sua versione 5.87 più recente, funge da loader: acquistato a 600 dollari più 50 dollari per ricompilazione, distribuisce payload secondari come Lumma Stealer, Vidar, RedLine, SmokeLoader e AsyncRAT attraverso un ecosistema di 53 cluster affiliati identificati da ESET. StealC, attivo dalla versione 2.2.1 da gennaio 2023 con aggiornamento a giugno 2026, è un infostealer con modello a abbonamento: 300 dollari al mese o 1.000 dollari per sei mesi.

La scoperta che li ha uniti proceduralmente non è avvenuta per intuizione investigativa tradizionale. Microsoft ha impiegato il proprio sistema di analisi AI — basato su Copilot — per scoprire sovrapposizioni infrastrutturali tra i due ecosistemi che non erano evidenti a ispezione manuale. Steven Masada, Assistant General Counsel della Digital Crimes Unit di Microsoft, ha spiegato il salto concettuale: quelle analisi hanno permesso al team legale di trattare entrambe le famiglie malware come parte di una cospirazione unica, invece di perseguire ciascun strumento separatamente come avvenuto in passato.

Il passaggio ha consentito di invocare il RICO Act, una legge concepita per smantellare le organizzazioni criminali strutturate, contro una rete di "enabler" complici operanti attraverso entrambi i malware. Non si tratta di un mero accorgimento giuridico: il RICO permette sanzioni civili e il sequestro di asset, con una logica sistemica diversa dal perseguimento individuale dei singoli operatori, noti solo con gli pseudonimi "InCrease" (Amadey) e "plymouth" (StealC).

Le tecniche di disruption: dal clustering RC4 alla vulnerabilità del pannello C2

La componente tecnica dell'operazione si è articolata su tre linee indipendenti che hanno poi converso nell'azione giudiziaria. ESET, che traccia Amadey da tre anni, ha applicato una metodologia di clustering basata su chiavi RC4 e identificatori di build per isolare i singoli botnet affiliati: ha disattivato circa 50 domini e quasi 200 server C&C attivi basati su indirizzi IP. Il metodo consente di distinguere operazioni apparentemente identiche sulla base di artefatti crittografici, non di firme statiche — un approccio particolarmente efficace contro un malware il cui modello pay-per-rebuild genera campioni polimorfi a ogni ricompilazione.

Proofpoint e IBM X-Force hanno operato sull'altro fronte, identificando una vulnerabilità nel pannello di amministrazione C2 di StealC che ha consentito il caricamento di una web shell e l'estrazione delle configurazioni operative. La collaborazione ha prodotto anche un emulatore di bot in grado di simulare infezioni e recuperare payload in tempo reale, arricchendo il quadro evidenziario per l'azione legale. Microsoft ha infine segnalato oltre 200 domini e indirizzi IP C&C malevoli, disattivati attraverso ordinanze giudiziarie e notifiche ai provider.

"When multiple parts of an operation are disrupted together, attacks are harder to launch, scale, and recover from" — Steven Masada, Microsoft Digital Crimes Unit

I numeri che non tornano: perché 18.000 vittime note contro 140.000 infezioni

La discrepanza tra i 18.000 computer vittima identificati e isolati da Microsoft e le oltre 140.000 infezioni combinate rilevate nelle prime due settimane di maggio 2026 è il dato più inquietante per le organizzazioni. Significa che la maggior parte delle macchie compromesse non è stata riconosciuta neppure in fase di intelligence attiva. Amadey e StealC non sono payload rumorosi: StealC si auto-termina se rileva una localizzazione di sistema in Russia, Ucraina, Bielorussia, Kazakistan o Uzbekistan — un comportamento tipico degli operatori che limitano l'esposizione giudiziaria locale; Amadey opera come intermediario silenzioso, spesso precedente al furto effettivo di credenziali.

Il modello MaaS con pannelli di amministrazione self-hosted — ciascun affiliato deve dispiegare il proprio server — aggiunge un ulteriore strato di difficoltà. Anche con l'infrastruttura centrale disattivata, gli affiliati con pannelli operativi indipendenti possono ricostruire rapidamente. Le fonti non specificano misure correttive che impediscano questa ricostruzione, e non emergono arresti che riducano la capacità operativa dei gestori noti.

Cosa fare adesso

Le organizzazioni devono verificare la presenza degli IoC di Amadey e StealC nei propri ambienti: la prevalenza di infezioni non identificate rende la scansione retroattiva prioritaria. Il recupero di 27 milioni di credenziali segnala un rischio sistemico di riutilizzo password che richiede il reset forzato delle credenziali aziendali e la verifica di eventuali sovrapposizioni con database di compromissione noti. La detection deve privilegiare i comportamenti tipici dei loader — esecuzione di payload stadiati, comunicazioni C&C successive a un primo contatto — rispetto alla rilevazione basata su firme, data la generazione polimorfa associata al modello pay-per-rebuild. Infine, la mappatura dei 53 cluster affiliati di Amadey pubblicata da ESET fornisce indicatori di specificità sufficienti a orientare le verifiche di rete su basi comportamentali e non meramente signature-based.

Il precedente RICO e l'economia della disruption MaaS

La vera posta in gioco di Operation Endgame non si misura solo sui server disattivati. Il RICO Act applicato a un doppio malware stabilisce che l'infrastruttura condivisa — non solo il codice malevolo — può essere trattata come organizzazione criminale unificata. Questo sposta l'obiettivo dell'azione legale dal singolo tool al sistema di "enabler" che lo rende scalabile: hosting, registrazione domini, servizi di criptovaluta, pannelli affiliati.

La fonte non specifica se l'azione civile RICO procederà verso accuse penali o rimarrà strumento di enforcement civile. Non è documentato, inoltre, se il medesimo approccio verrà replicato contro ecosistemi MaaS affini come Lumma Stealer o RedLine, tecnicamente citati nei payload di Amadey ma non inclusi nell'azione. Ciò che il dossier conferma è che l'analisi AI delle connessioni infrastrutturali ha reso possibile un'operazione che l'ispezione manuale non avrebbe identificato: un cambiamento nei costi di investigazione che, se replicato, altera i calcoli di convenienza degli operatori criminali.

Per ora, la metrica più brutale resta quella delle infezioni: 140.000 macchie contro 18.000 vittime note significa che l'autodifesa attiva delle organizzazioni rimane l'unica linea che funziona in tempo reale, indipendentemente dalla velocità della cooperazione pubblico-privata.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Per approfondire

  • ClawHub: 23 plugin AI con scope ufficiali ma account non autorizzati

Fonti

Fonti e riferimenti
  1. thehackernews.com
  2. helpnetsecurity.com
  3. bleepingcomputer.com
  4. securityweek.com
  5. cyberscoop.com
  6. welivesecurity.com