Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
Operazione globale smantella infrastrutture criminali di Amadey e StealC

Operazione globale smantella infrastrutture criminali di Amadey e StealC

12 Luglio 2026 06:54
In sintesi

Un'operazione internazionale ha smantellato le infrastrutture dei malware Amadey e StealC, recuperando 27 milioni di credenziali rubate. Questi malware sono offerti come servizio (MaaS) e utilizzano vari vettori di accesso per distribuire payload malevoli. La collaborazione tra pubblico e privato ha dimostrato l'efficacia nel contrastare il cybercrime su larga scala.

Un’operazione coordinata tra le forze dell’ordine e aziende private, tra cui Bitdefender, Bitsight, ESET e Microsoft, ha portato allo smantellamento delle infrastrutture criminali che alimentano i malware Amadey e StealC. L’obiettivo principale era interrompere le attività dei cybercriminali per lanciare attacchi ransomware, frodi finanziarie e colpire infrastrutture critiche.

Questa operazione segue di pochi giorni lo smantellamento dell’infrastruttura associata a SocGholish da parte delle autorità dei Paesi Bassi, Canada, Germania e Stati Uniti. Sono stati identificati, segnalati e bloccati asset in criptovalute di origine criminale per un valore superiore ai 47 milioni di dollari. Inoltre, sono stati recuperati circa 27 milioni di credenziali di accesso rubate e sono stati smantellati 326 server e 142 domini.

“Questo intervento dimostra il potere della collaborazione tra pubblico e privato nel disarticolare le infrastrutture che facilitano il cybercrime su larga scala,” ha dichiarato Alex Cosoi, chief security strategist di Bitdefender. “Invia anche un chiaro messaggio a chi sta dietro gli ecosistemi malware: qualunque sia la sofisticazione degli strumenti o la distribuzione della rete, l’azione internazionale coordinata li troverà.”

Advertising

I tre malware sono noti per essere offerti come servizio (MaaS), permettendo ai clienti di consegnare ulteriori payload o rubare informazioni sensibili da host compromessi. SocGholish e Amadey fungono da loader per introdurre malware di secondo stadio, distribuiti principalmente attraverso siti WordPress compromessi e campagne di phishing. Amadey è stato anche distribuito tramite altri loader come Emmenhtal e SmokeLoader.

Amadey è una backdoor modulare basata su C++, ed è attiva dal ottobre 2018 ed è offerta da un attore della minaccia noto come InCrease. Il servizio costa 600 dollari per una licenza singola, con un’ulteriore tariffa di 50 dollari per ogni ricostruzione. Le ultime versioni di Amadey supportano comandi come l’identificazione del sistema, il download di file, l’esecuzione di comandi tramite cmd.exe e la cattura dei contenuti della clipboard.

StealC ha mostrato una forte concentrazione di infezioni negli Stati Uniti, Polonia e Italia. Oltre ai browser Chromium, il malware raccoglie dati da applicazioni desktop come Discord, FileZilla, Microsoft Outlook e Telegram. Può anche agire come loader secondario, eseguendo payload basati su comandi esterni.

Un vulnerabilità XSS nel pannello di controllo web di StealC è stata sfruttata per ottenere informazioni sul servizio MaaS e sui suoi clienti, tra cui YouTubeTA, che ha utilizzato Google Video Sharing per distribuire il malware. IBM X-Force e Proofpoint hanno identificato diverse vulnerabilità nel pannello C2, inclusa un directory traversal che permetteva l’upload di un web shell.

ESET ha osservato che in entrambi gli ecosistemi, gli affiliati ricevono un pannello di amministrazione auto-hosted da implementare sulla propria infrastruttura server. Amadey utilizza un modello pay-per-rebuild, mentre StealC offre un approccio più favorevole agli affiliati.

Advertising

📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Carolina Vivianti 300x300
Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.
Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance