Una operación coordinada de aplicación de la ley, en asociación con empresas del sector privado, incluidas Bitdefender, Bitsight, ESET y Microsoft, ha dado como resultado el desmantelamiento de la infraestructura criminal que impulsa a Amadey y StealC.
“El principal objetivo común era interrumpir las ‘líneas de montaje’ que los ciberdelincuentes utilizan para lanzar ransomware, fraude financiero y ataques a infraestructuras críticas”, dijo Europol en un comunicado.
El desarrollo se produce días después de que las autoridades de los Países Bajos, Canadá, Alemania y Estados Unidos interrumpieran la infraestructura maliciosa asociada con SocGholish y limpiaran casi 15.000 sitios web infectados de WordPress.
Como parte de la acción que duró dos semanas, se identificaron, marcaron y restringieron su uso activos de criptomonedas de origen criminal valorados en más de $47 millones. Además, se han recuperado hasta 27 millones de credenciales de inicio de sesión robadas y la red de distribución de malware se ha visto obstaculizada por el desmantelamiento de 326 servidores y 142 dominios.
“Este desmantelamiento es una poderosa demostración de lo que la colaboración del sector público y privado puede lograr para desmantelar la infraestructura que permite el cibercrimen a escala”, dijo Alex Cosoi, estratega jefe de seguridad de Bitdefender, en un comunicado. “También envía un mensaje claro a quienes están detrás de los ecosistemas de malware: no importa cuán sofisticadas sean las herramientas o cuán distribuida esté la red, una acción internacional coordinada los encontrará”.
Se sabe que las tres familias de malware se anuncian bajo un modelo de malware como servicio (MaaS), lo que permite a los clientes entregar cargas útiles adicionales o robar información confidencial de hosts comprometidos.
SocGholish y Amadey funcionan como cargadores para introducir malware de siguiente etapa, y el malware se difunde principalmente mediante sitios de WordPress comprometidos y campañas de phishing, respectivamente. Amadey también se ha propagado a través de otros cargadores como Emmenhtal y SmokeLoader.
Se sabe que una puerta trasera modular basada en C++ está activa desde octubre de 2018 y es anunciada por un actor de amenazas conocido como InCrease. El servicio tiene un precio de $600 por una sola licencia, con un cargo adicional de $50 por reconstrucción. La última versión de Amadey es la 5.87. Algunos de los comandos admitidos se enumeran a continuación:
- Tomar huellas dactilares de la máquina
- Descarga archivos, DLL, MSI o scripts de PowerShell
- Ejecute comandos usando “cmd.exe”
- Tomar capturas de pantalla
- Generar un proxy SOCKS
- Abra una sesión VNC o proxy inverso
- Capture el contenido y las credenciales del portapapeles
- Habilitar RDP
Según datos publicados por Mitsui Bussan Secure Directions, el número diario de servidores de comando y control (C2 o C&C) activos de Amadey osciló aproximadamente entre dos y 18 hasta aproximadamente septiembre de 2022.
“Sin embargo, desde enero de 2023 hasta principios de diciembre de 2023, esta cifra aumentó a entre 5 y 30, lo que sugiere que Amadey se había generalizado”, dijo la empresa japonesa de ciberseguridad. “En 2024, después de un breve período de inactividad, el recuento diario disminuyó gradualmente desde un máximo de 17 y ha seguido cayendo hasta el día de hoy”.
Se dice que el número de muestras de malware distribuidas a través de Amadey alcanzó un máximo de 11.635 en 2025, frente a 66 en 2019, 260 en 2020, 1.231 en 2021, 3.500 en 2022, 8.360 en 2023 y 7.619 en 2024. Desde principios de año, Se han distribuido 1.837 cargas útiles a través del cargador de malware.
 |
| El malware lanzado por Amadey en 2025 y 2026 y StealC en 2026 |
StealC, por otro lado, ha aprovechado varios vectores de acceso inicial que van desde cargadores de malware (incluido Amadey) y señuelos ClickFix, y está equipado para extraer información confidencial, como capturas de pantalla, credenciales, cookies de sesión, entradas de autocompletar, datos de tarjetas de crédito, historial de navegación y datos de extensiones.
El malware apareció por primera vez en enero de 2023 y lo vendió por 300 dólares al mes (o 1.000 dólares durante seis meses) por un actor de amenazas que utilizaba el apodo de “plymouth”. Al igual que Amadey, StealC ha sido mantenido activamente por sus operadores. En junio de 2026, la última versión del ladrón es la 2.2.1. Las concentraciones más altas de infección se han reportado en Estados Unidos, Polonia e Italia.
Además de apuntar a los navegadores Chromium, el malware recopila datos de aplicaciones de escritorio como Discord, FileZilla, Foxmail, Microsoft Outlook, Steam y Telegram, así como archivos que coinciden con ciertos patrones de nombres. También actúa como un cargador secundario, capaz de descargar y ejecutar cargas útiles EXE, MSI o PowerShell basadas en comandos de un servidor externo.
Escrito en C++, un aspecto notable del ladrón es su capacidad para consultar el idioma predeterminado del sistema y finalizarse si la configuración regional coincide con países como Rusia, Ucrania, Bielorrusia, Kazajstán o Uzbekistán. Amadey también presenta una verificación similar para omitir ciertas funcionalidades como el robo de credenciales y el robo de portapapeles cuando se ejecuta en un host ruso, ucraniano o bielorruso.
 |
| Un ladrón de información representativo de la cadena de ataques de ransomware |
A principios de enero, CyberArk reveló una vulnerabilidad de secuencias de comandos entre sitios (XSS) en el panel de control basado en web por parte de los operadores de StealC que hizo posible obtener información sobre la operación MaaS, incluido uno de sus clientes llamado YouTubeTA, que ha confiado en la plataforma de intercambio de videos de Google para distribuir el ladrón mediante publicidad de versiones descifradas de Adobe Photoshop y Adobe After Effects.
IBM X-Force y Proofpoint también notaron que se identificaron múltiples fallas de seguridad en el panel C2, una de las cuales fue un error de recorrido de directorio que hizo posible cargar un shell web en el servidor StealC C2. El problema fue solucionado por los desarrolladores de StealC en febrero de 2026, pero no antes de que un afiliado lo explotara para robar datos de otros afiliados.
“En ambos ecosistemas, los afiliados reciben un panel de administración autohospedado que debe implementarse en su propia infraestructura de servidor”, dijeron los investigadores de ESET Jakub Tomanek y Tomáš Procházka. “Amadey utilizó un modelo de pago por reconstrucción. Los afiliados compraron una licencia y luego pagaron una tarifa adicional cada vez que necesitaban generar una nueva compilación, por ejemplo, al rotar a un nuevo servidor C&C”.
“StealC adoptó un enfoque más amigable para los afiliados, ofreciendo generación ilimitada de compilaciones como parte de su suscripción. Esto redujo el costo operativo de la infraestructura rotativa de C&C y facilitó a los afiliados generar nuevas muestras según fuera necesario”.
Un total de 53 clústeres únicos han estado dentro del ecosistema de Amadey, y el clúster de botnets más grande distribuye cargas útiles como Lumma Stealer, Vidar Stealer, StealC, Rugmi, PureCrypter, Agent Tesla, Rhadmanthys Stealer, RedLine Stealer, SmokeLoader, XWorm y AsyncRAT.
Microsoft ha revelado que Amadey y StealC no solo emplean la misma infraestructura, sino que las familias de malware se han vinculado a más de 140.000 computadoras infectadas en todo el mundo en las dos primeras semanas de mayo de 2026. El gigante tecnológico dijo que identificó más de 18.000 computadoras víctimas y cortó el control criminal de esos dispositivos.
En total, el gigante tecnológico dijo que marcó 200 dominios y direcciones IP maliciosos de Amadey y StealC C2, los cuales desde entonces han sido cerrados mediante una combinación de órdenes judiciales, incautaciones de dominios, registros y notificaciones de proveedores.
 |
|
| Evolución diaria del número de servidores Amadey C2 activos |
“Los cargadores y los ladrones son las dos mitades de la cartera de malware básico”, dijo Bitsight. “Un cargador obtiene el primer punto de apoyo y lo alquila; un ladrón aprovecha ese punto de apoyo para recopilar credenciales, cookies y billeteras, para luego venderlas en foros clandestinos (incluido Telegram)”.
El último esfuerzo, que tuvo lugar entre el 15 y el 19 de junio de 2026, marca el último capítulo de la Operación Endgame. En él participaron autoridades judiciales y autoridades policiales de Bélgica, Canadá, Dinamarca, Francia, Alemania, Países Bajos, Reino Unido y Estados Unidos.
“La Operación Endgame tiene como objetivo el malware de acceso inicial utilizado para infectar dispositivos”, dijo Eurojust. “Los ciberdelincuentes utilizan este malware como puerta de entrada para infiltrarse silenciosamente en los sistemas de las víctimas y robar datos confidenciales. Al combatir la etapa inicial de la cadena de ataque, la operación ataca el corazón de todo el ecosistema del ‘ciberdelito como servicio'”.
