Microsoft e la polizia smantellano Amadey e StealC: stop a frodi per 47 milioni

Microsoft, Europol e una rete di autorità e partner privati hanno colpito una filiera criminale usata per accessi iniziali, furti di credenziali, frodi finanziarie e ransomware. Secondo la ricostruzione pubblicata da Ars Technica, l’operazione ha interrotto strumenti e infrastrutture collegati ad Amadey, StealC e SocGholish, recuperando fino a 27 milioni di credenziali rubate e individuando asset crypto di origine criminale per oltre 47 milioni di dollari.

Il punto operativo è stato l’attacco simultaneo a due strumenti separati ma spesso usati insieme: Amadey, piattaforma malware-as-a-service osservata almeno dal 2018, e StealC, servizio infostealer-as-a-service progettato per raccogliere password, cookie di autenticazione, wallet crypto, estensioni browser e file selezionati in base a schemi definiti dai clienti criminali.

La filiera criminale colpita insieme

Secondo Microsoft, Amadey e StealC non appartengono alla stessa struttura operativa e sono gestiti in modo indipendente. La loro diffusione, però, ha portato molti affiliati criminali a usarli nello stesso percorso d’attacco: il primo per compromettere i dispositivi e installare payload successivi, il secondo per sottrarre dati e credenziali. Nell’analisi diffusa dal blog ufficiale di Microsoft, l’azienda sostiene che i due strumenti formassero un anello comune nella catena che alimenta ransomware, frodi finanziarie e interruzioni di servizi pubblici.

La società ha dichiarato di aver usato analisi assistita da intelligenza artificiale, incluso Copilot, per individuare infrastrutture condivise tra le due famiglie di malware. Questa lettura tecnica ha consentito ai legali della Digital Crimes Unit di Microsoft di trattare Amadey e StealC come parte di una stessa cospirazione, pur essendo strumenti sviluppati da soggetti differenti.

Il passaggio giuridico è stato costruito attraverso il Racketeer Influenced and Corrupt Organizations Act, la normativa statunitense nota come RICO, usata per colpire schemi di criminalità organizzata. Stando a Microsoft, l’azione ha portato alla disruption di oltre 200 server command-and-control e ha reciso il controllo criminale su più di 18.000 computer infetti identificati dall’azienda.

Ventisette milioni di credenziali recuperate

I numeri comunicati da Europol descrivono una manovra più ampia della sola azione civile di Microsoft. Nella pagina di aggiornamento su Operation Endgame, l’agenzia europea indica 326 server e 142 domini trattati da forze dell’ordine e partner privati, con un impatto diretto sulla rete di distribuzione dei malware.

Europol afferma inoltre che sono stati recuperati fino a 27 milioni di login rubati e che asset crypto di origine criminale per oltre 41 milioni di euro, pari a circa 47 milioni di dollari, sono stati identificati, segnalati e sottoposti a restrizioni d’uso. La differenza tra i dati Microsoft e quelli Europol dipende dal perimetro: Microsoft parla della propria azione su Amadey e StealC, mentre Europol include il quadro coordinato di Operation Endgame.

Per le imprese, il dato sulle credenziali ha una lettura immediata: gli infostealer non sottraggono solo password isolate, ma anche cookie di sessione e informazioni che possono permettere il riuso degli accessi. Nel modello descritto dalle fonti, il furto iniziale può diventare materiale rivenduto, usato per frodi oppure trasformato in punto di partenza per ransomware e accessi più mirati.

Amadey apre la porta, StealC ruba

Amadey è descritto dalle fonti come un loader o dropper offerto come servizio. La sua funzione è entrare nei sistemi, raccogliere informazioni e consegnare altri payload. Ars Technica ricorda che nel 2025 era stato osservato mentre abusava di GitHub per raccogliere dati di sistema da dispositivi infetti e installare payload personalizzati.

StealC ha invece un profilo diverso: è un infostealer-as-a-service. Raccoglie credenziali, cookie di autenticazione, wallet di criptovalute, estensioni browser e file corrispondenti a pattern definiti dai clienti. In un ambiente aziendale questo significa che un singolo endpoint compromesso può esporre account cloud, strumenti collaborativi, pannelli amministrativi, repository e ambienti SaaS se le sessioni sono ancora valide o se le credenziali vengono riutilizzate.

Secondo Microsoft, nelle prime due settimane di maggio 2026 Amadey e StealC sono stati collegati a oltre 140.000 computer infetti nel mondo. Il dato non coincide con il numero di macchine sottratte al controllo criminale nell’azione legale, ma misura la diffusione osservata dei due strumenti in un periodo limitato.

SocGholish amplia il perimetro

Nel perimetro di Operation Endgame rientra anche SocGholish, malware loader associato da Europol al gruppo cybercriminale russo Evil Corp. A differenza di Amadey e StealC, SocGholish viene distribuito tramite siti compromessi, inducendo gli utenti a installare falsi aggiornamenti del browser o applicazioni trojanizzate presentate come software legittimo.

Europol riferisce che, nell’azione contro SocGholish, sono stati bonificati 14.971 siti infetti, inclusi siti di ristoranti, officine e servizi di uso quotidiano. L’agenzia indica in particolare i siti basati su WordPress come canale usato per distribuire falsi aggiornamenti, e ha invitato gli amministratori a cambiare credenziali, attivare l’autenticazione a più fattori, rimuovere account sconosciuti e mantenere aggiornate le piattaforme.

La comunicazione pubblicata sul sito ufficiale di Operation Endgame sulle azioni coordinate attribuisce il coordinamento internazionale a Europol ed Eurojust, con il coinvolgimento di autorità di Canada, Danimarca, Germania, Paesi Bassi, Regno Unito e Stati Uniti, oltre a Microsoft e altri partner privati.

Un modello industriale sotto pressione

Il tratto comune tra Amadey, StealC e SocGholish è il modello cybercrime-as-a-service. Europol lo descrive come un’offerta in cui altri criminali usano strumenti già disponibili per ottenere l’infezione iniziale dei sistemi e avviare attività successive, tra cui estorsione digitale tramite ransomware o uso fraudolento dei dati.

Per le PMI, il punto esposto dalle fonti è la dipendenza da credenziali e siti web amministrati con procedure deboli. Un sito WordPress non aggiornato, un account senza autenticazione forte o una sessione browser rubata possono diventare l’ingresso in un processo più lungo, nel quale gli attori che ottengono l’accesso non sono necessariamente gli stessi che monetizzano i dati.

Per le grandi imprese, il caso mostra il peso della catena di fornitura degli accessi. Microsoft sostiene che colpire strumenti diversi nello stesso momento aumenta l’attrito per gli operatori criminali, perché rende più difficile lanciare, scalare e ricostruire gli attacchi dopo la rimozione di server e domini. È una logica diversa dalla rimozione di una singola infrastruttura: il bersaglio diventa il collegamento operativo tra più servizi criminali.

Identità digitali al centro dei controlli

La risposta immediata indicata da Europol per i siti compromessi passa da misure concrete: cambio delle credenziali, autenticazione a più fattori, eliminazione di account sconosciuti e aggiornamento dei sistemi. Sono interventi di base, ma direttamente collegati ai vettori descritti nell’operazione: accessi rubati, siti infetti, falsi aggiornamenti e pannelli criminali di comando.

Nel quadro regolatorio e di governance, l’uso di RICO da parte di Microsoft introduce un precedente operativo per le azioni civili contro infrastrutture criminali modulari. La tesi dell’azienda è che strumenti separati possano essere trattati insieme quando analisi tecniche mostrano dipendenze infrastrutturali condivise e un uso coordinato nella stessa catena d’attacco.

L’operazione non elimina il mercato del malware-as-a-service, ma sottrae a diversi operatori server, domini, credenziali e asset finanziari. La chiusura indicata dalle fonti è operativa: meno controllo sui dispositivi già infetti, più difficoltà nel ripristino delle reti criminali e una pressione diretta sui servizi che trasformano un accesso iniziale in frode, furto di dati o estorsione.