La coordinación de los esfuerzos de aplicación de la ley con empresas privadas como Bitdefender, Bitsight, ESET y Microsoft permitió la destrucción de la infraestructura criminal que respaldaba a Amadey y StealC.
«El principal objetivo común era interrumpir la ‘línea de montaje’ utilizada por los ciberdelincuentes para lanzar ransomware, fraude financiero y ataques a infraestructuras críticas», dijo Europol en un comunicado.
Este acontecimiento se produce días después de que las autoridades de los Países Bajos, Canadá, Alemania y Estados Unidos interrumpieran la infraestructura maliciosa asociada con SocGholish y desinfectaran aproximadamente 15.000 sitios web infectados de WordPress.
Como parte de la acción de dos semanas, se identificaron, marcaron y restringieron su uso por valor de más de 47 millones de dólares en activos de criptomonedas derivados de actividades delictivas. Además, se recuperaron 27 millones de credenciales de inicio de sesión robadas, se desmantelaron 326 servidores y 142 dominios y se interrumpió una red de distribución de malware.
«Este desmantelamiento es una poderosa demostración de lo que la colaboración público-privada puede lograr para desmantelar la infraestructura que permite el cibercrimen a gran escala», dijo Alex Kosoy, estratega jefe de seguridad de Bitdefender, en un comunicado. «Esto también envía un mensaje claro a quienes están detrás del ecosistema de malware: no importa cuán sofisticadas sean las herramientas o cuán distribuidas estén las redes, una acción internacional coordinada encontrará malware».
Se sabe que las tres familias de malware se anuncian bajo un modelo de malware como servicio (MaaS), lo que permite a los clientes entregar cargas útiles adicionales o robar información confidencial de hosts comprometidos.
SocGholish y Amadey actúan como cargadores que introducen la siguiente etapa del malware, que se propaga principalmente mediante sitios de WordPress comprometidos y campañas de phishing, respectivamente. Amadey también se propaga a través de otros cargadores como Emmenhtal y SmokeLoader.
Se sabe que la puerta trasera modular basada en C++ está activa desde octubre de 2018 y es promovida por el actor de amenazas conocido como InCrease. Este servicio tiene un precio de $600 por licencia, con una tarifa adicional de $50 por cada reconstrucción. La última versión de Amadey es la 5.87. Algunos de los comandos admitidos se enumeran a continuación.
Tomar huellas digitales de la máquina Descargar archivos, DLL, MSI o scripts de PowerShell Ejecutar comandos usando cmd.exe Tomar capturas de pantalla Generar un proxy SOCKS Abrir una sesión VNC o proxy inverso Capturar el contenido y las credenciales del portapapeles Habilitar RDP
Según datos publicados por Mitsui & Co. Secure Directions, hasta aproximadamente septiembre de 2022, el número de servidores de comando y control (C2 o C&C) de Amadey activos por día oscilaba entre aproximadamente 2 y 18.
«Sin embargo, desde enero de 2023 hasta principios de diciembre de 2023, este número aumentó entre 5 y 30, lo que sugiere que Amadey se utilizó ampliamente», dijo la firma japonesa de ciberseguridad. “Después de una breve pausa, el número diario disminuyó gradualmente desde un máximo de 17 casos en 2024 y continúa disminuyendo hasta el día de hoy”.
Se dice que el número de muestras de malware distribuidas a través de Amadey aumentó de 66 en 2019, 260 en 2020, 1231 en 2021, 3500 en 2022, 8360 en 2023 y 7619 en 2024, alcanzando un máximo de 11 635 en 2025. Durante el año, Se distribuyeron 1.837 cargas útiles a través de cargadores de malware.
El malware lanzado por Amadey en 2025 y 2026 y StealC en 2026
StealC, por otro lado, aprovecha una variedad de vectores de acceso inicial, que van desde cargadores de malware (incluido Amadey) hasta señuelos ClickFix, y tiene la capacidad de extraer información confidencial como capturas de pantalla, credenciales, cookies de sesión, entradas de autocompletar, datos de tarjetas de crédito, historial de navegación y datos de extensiones.
El malware apareció por primera vez en enero de 2023 y un atacante que usaba el sobrenombre de «plymouth» lo vendió por 300 dólares al mes (o 1.000 dólares durante seis meses). Al igual que Amadey, StealC cuenta con el mantenimiento activo de sus operadores. En junio de 2026, la última versión de Stealer es la 2.2.1. Las mayores concentraciones de infecciones se han reportado en Estados Unidos, Polonia e Italia.
Además de apuntar al navegador Chromium, el malware también recopila datos de aplicaciones de escritorio como Discord, FileZilla, Foxmail, Microsoft Outlook, Steam, Telegram y archivos que coinciden con un patrón de nombres específico. También puede actuar como un cargador secundario, descargando y ejecutando cargas EXE, MSI o PowerShell basadas en comandos de servidores externos.
Escrito en C++, este ladrón se destaca por su capacidad para consultar el idioma predeterminado del sistema y finalizarse si la configuración regional coincide con un país como Rusia, Ucrania, Bielorrusia, Kazajstán o Uzbekistán. Amadey también tiene comprobaciones similares que omiten ciertas funciones, como el robo de credenciales y el robo de portapapeles, cuando se ejecuta en hosts en Rusia, Ucrania o Bielorrusia.
Ladrones de información típicos en cadenas de ataques de ransomware
A principios de enero, CyberArk reveló una vulnerabilidad de secuencias de comandos entre sitios (XSS) en su panel de control basado en web por parte del operador StealC. Esto hizo posible recopilar información sobre las operaciones de MaaS. Uno de esos clientes es YouTubeTA. Este cliente confió en la plataforma para compartir videos de Google para distribuir el ladrón promocionando versiones descifradas de Adobe Photoshop y Adobe After Effects.
IBM X-Force y Proofpoint también notaron que se identificaron múltiples fallas de seguridad en el panel C2, una de las cuales era un error de recorrido de directorio que permitía cargas de shell web al servidor StealC C2. Los desarrolladores de StealC solucionaron este problema en febrero de 2026, pero antes de eso, los afiliados podrían haberlo aprovechado para robar datos de otros afiliados.
«En ambos ecosistemas, los afiliados reciben un panel de administración autohospedado y deben implementarlo en su propia infraestructura de servidor», dijeron los investigadores de ESET Jakub Tomanek y Tomáš Procházka. «Amadey tenía un modelo de pago por compilación, en el que los afiliados compraban una licencia y pagaban una tarifa adicional cada vez que necesitaban generar una nueva compilación, como cuando cambiaban a un nuevo servidor C&C».
«StealC adoptó un enfoque más amigable para los afiliados y ofreció generación de compilaciones ilimitada como parte de la suscripción. Esto redujo los costos operativos de la infraestructura rotativa de C&C y facilitó a los afiliados generar nuevas muestras según fuera necesario».
Hay un total de 53 clústeres únicos dentro del ecosistema de Amadey, y el clúster de botnets más grande distribuye cargas útiles como Lumma Stealer, Vidar Stealer, StealC, Rugmi, PureCrypter, Agent Tesla, Rhadmanthys Stealer, RedLine Stealer, SmokeLoader, XWorm y AsyncRAT.
Microsoft reveló que Amadey y StealC no solo empleaban la misma infraestructura, sino que las familias de malware estaban vinculadas a más de 140.000 computadoras infectadas en todo el mundo durante las dos primeras semanas de mayo de 2026. Microsoft anunció que había identificado más de 18.000 computadoras comprometidas y eliminó el control criminal de esos dispositivos.
El gigante tecnológico dijo que marcó un total de 200 dominios y direcciones IP maliciosos de Amadey y StealC C2, y posteriormente los cerró todos mediante una combinación de órdenes judiciales, incautaciones de dominios, registros y notificaciones de proveedores.
Evolución diaria del número de servidores Amadey C2 activos
«Los cargadores y los ladrones son dos mitades de una cartera de malware comercial», afirmó Bitsight. «Los cargadores adquieren un punto de apoyo inicial y lo alquilan, y los ladrones usan ese punto de apoyo para recopilar credenciales, cookies y billeteras y venderlas en foros clandestinos (incluido Telegram)».
Este último esfuerzo, que tuvo lugar entre el 15 y el 19 de junio de 2026, representa el último capítulo de la Operación Endgame. En este caso participaron autoridades judiciales y organismos encargados de hacer cumplir la ley de Bélgica, Canadá, Dinamarca, Francia, Alemania, los Países Bajos, el Reino Unido y los Estados Unidos.
«La Operación Endgame tiene como objetivo el malware de acceso temprano utilizado para infectar dispositivos», dijo Eurojust. «Los ciberdelincuentes utilizan este malware como puerta de entrada para infiltrarse silenciosamente en los sistemas de las víctimas y robar datos confidenciales. Al combatir las primeras etapas de la cadena de ataque, esta operación ataca el corazón de todo el ecosistema del ‘ciberdelito como servicio'».
Source link
