Le autorità internazionali e un gruppo di aziende tecnologiche private hanno colpito una vera catena di montaggio del cybercrimine, interrompendo strumenti usati per raccogliere credenziali, controllare dispositivi compromessi e alimentare frodi online. L'operazione ha portato alla scoperta di fino a 27 milioni di credenziali rubate e di 47 milioni di dollari in asset crypto di origine criminale, oltre al blocco di infrastrutture operative impiegate in campagne di ransomware e truffe finanziarie.
Il cuore dell'intervento è stato il targeting simultaneo di due piattaforme distinte ma spesso utilizzate nello stesso ecosistema criminale: Amadey e StealC. La prima è una piattaforma di malware-as-a-service osservata in attività almeno dal 2018, usata per compromettere dispositivi e distribuire payload dannosi. La seconda è un servizio di infostealer-as-a-service progettato per sottrarre password, cookie di autenticazione, wallet di criptovalute, estensioni del browser e file selezionati in base a criteri definiti dai clienti criminali.
Amadey e StealC non sono lo stesso prodotto e vengono gestiti in modo indipendente. La loro diffusione, però, li ha resi complementari per molti operatori: Amadey consente l'accesso iniziale ai dispositivi, mentre StealC monetizza quell'accesso sottraendo dati sensibili. Microsoft ha dichiarato di avere individuato, attraverso analisi condotte con AI, elementi di infrastruttura condivisa tra i due strumenti. Questo passaggio ha permesso ai legali dell'azienda di chiedere un intervento capace di colpirli nello stesso momento.
La leva giuridica è stata altrettanto centrale. Con prove di sovrapposizione infrastrutturale, Microsoft ha invocato gli statuti RICO, normalmente usati contro la criminalità organizzata, trattando i due strumenti come parte di una singola cospirazione. L'azienda ha affermato di avere interrotto oltre 200 server di comando e controllo e di avere reciso il controllo criminale su più di 18.000 computer infetti. Per le imprese, il punto operativo è chiaro: il rischio non nasce solo dal singolo malware, ma dall'integrazione tra servizi criminali modulari.
Europol, che ha coordinato la parte di enforcement, ha fornito un quadro più ampio dell'azione complessiva: durante l'intervento sono stati trattati 326 server e 142 domini da forze dell'ordine e partner privati. L'effetto dichiarato è stato quello di aumentare l'attrito per gli attaccanti, rendendo più difficile avviare, diffondere o ripristinare le campagne. È un approccio che punta meno alla rimozione di un singolo nodo e più alla disarticolazione dei servizi che consentono al crimine informatico di scalare.
Nell'operazione rientra anche SocGholish, loader malware collegato al gruppo russo Evil Corp e diffuso attraverso siti compromessi. Gli utenti che visitano quei siti vengono indotti a installare applicazioni trojanizzate presentate come estensioni del browser o software legittimi. Europol ha dichiarato di avere risposto ripulendo siti WordPress infetti, sollecitando gli amministratori a cambiare credenziali e rafforzare la sicurezza, e notificando le parti i cui dati erano stati esposti dalle attività legate a SocGholish.
All'azione hanno partecipato Paesi tra cui Canada, Danimarca, Germania, Paesi Bassi, Regno Unito e Stati Uniti. La fotografia che emerge è quella di un mercato criminale sempre più industrializzato, in cui accesso, furto di credenziali, distribuzione di payload e monetizzazione possono essere acquistati come servizi separati. Colpirli insieme non elimina il problema, ma interrompe per un periodo la continuità operativa di una filiera che vive di automazione, infrastrutture riutilizzabili e clienti ricorrenti.