Un’operazione coordinata tra autorità internazionali e aziende tecnologiche private ha interrotto una vera assembly line del cybercrime, costruita attorno a strumenti usati per raccogliere credenziali, distribuire malware e alimentare frodi online. Il dato operativo è consistente: l’azione ha portato al recupero di fino a 27 milioni di credenziali di accesso rubate e ha fatto emergere 47 milioni di dollari in crypto asset di origine criminale.
Il punto centrale dell’intervento è stato il colpo simultaneo a due strumenti distinti, ma spesso usati nello stesso ecosistema criminale: Amadey e StealC. Il primo è una piattaforma malware-as-a-service impiegata per compromettere dispositivi e consegnare payload dannosi, anche in campagne ransomware. Il secondo è un servizio infostealer-as-a-service progettato per sottrarre password, cookie di autenticazione, wallet di criptovalute, estensioni del browser e file selezionati in base a criteri scelti dai clienti criminali.
Amadey è osservato in attività almeno dal 2018 e, nell’ultimo anno, era stato visto abusare di GitHub per raccogliere informazioni di sistema da dispositivi infetti e installare payload personalizzati. StealC, invece, si colloca nella filiera successiva del furto informativo: non serve solo ad accedere a una macchina, ma a trasformare quell’accesso in credenziali riutilizzabili, sessioni rubate e dati monetizzabili.
La svolta tecnica è arrivata dall’analisi di Microsoft, che ha dichiarato di aver usato l’AI per esaminare i due strumenti e individuare una sovrapposizione nell’infrastruttura sottostante. Pur essendo piattaforme indipendenti, Amadey e StealC risultavano spesso adottate dagli stessi attori e, soprattutto, appoggiate in parte agli stessi elementi operativi. Questa connessione ha consentito agli avvocati dell’azienda di chiedere un provvedimento capace di colpire entrambi nello stesso momento.
Microsoft ha inquadrato l’azione come un intervento contro la catena industrializzata che sostiene ransomware, frodi finanziarie e interruzioni di servizi pubblici. Nella ricostruzione dell’azienda, Amadey aiuta gli aggressori a ottenere accesso ai dispositivi, mentre StealC sottrae password e informazioni sensibili. Insieme, formano un passaggio critico della catena che trasforma una compromissione iniziale in danno economico, furto d’identità o ulteriore diffusione dell’attacco.
Sul piano legale, la sovrapposizione infrastrutturale ha permesso di invocare gli statuti RICO, usati contro la criminalità organizzata, trattando i due strumenti come parte di una singola cospirazione. Microsoft ha affermato di aver interrotto oltre 200 server di comando e controllo e di aver reciso il controllo criminale su più di 18.000 computer infetti. È il tipo di intervento che non elimina il rischio, ma aumenta i costi di ripristino per gli operatori criminali e riduce la continuità operativa delle loro campagne.
Europol, che ha coordinato la componente di law enforcement, ha indicato numeri ancora più ampi sull’azione complessiva: 326 server e 142 domini sono stati trattati da forze dell’ordine e partner privati, indebolendo in modo significativo la rete di distribuzione del malware. L’agenzia ha sottolineato che il blocco simultaneo degli strumenti aumenta l’attrito per i cybercriminali, rendendo più difficile far riuscire gli attacchi, propagarli o recuperarli dopo l’interruzione.
Nell’operazione è stato colpito anche SocGholish, un malware loader collegato al gruppo russo Evil Corp e diffuso tramite siti compromessi. I visitatori venivano indotti a installare applicazioni trojanizzate presentate come estensioni del browser o software legittimo. Europol ha indicato di essere intervenuta anche sulla bonifica di siti WordPress infetti, chiedendo agli amministratori di cambiare credenziali e rafforzare la sicurezza, oltre ad avvisare le parti i cui dati erano stati esposti.
L’operazione ha coinvolto Canada, Danimarca, Germania, Paesi Bassi, Regno Unito e Stati Uniti. Per le imprese, il quadro che emerge è quello di una criminalità digitale sempre più modulare, in cui accesso iniziale, furto di credenziali e monetizzazione sono servizi separati ma combinabili. La risposta, allo stesso modo, si muove su più livelli: analisi automatizzata, azione legale, sequestro infrastrutturale e bonifica tecnica. La pressione su questa filiera non chiude il mercato criminale, ma ne interrompe i passaggi più produttivi.