Microsoft, in collaborazione con Europol e una rete internazionale di autorità competenti e partner privati, ha condotto un’operazione coordinata contro una filiera criminale specializzata in accessi iniziali a sistemi informatici, furto di credenziali, frodi finanziarie e attacchi ransomware. L’intervento ha portato al recupero fino a 27 milioni di credenziali rubate e all’identificazione di asset crittografici di origine illecita per un valore superiore ai 47 milioni di dollari.

Al centro dell’operazione vi sono due strumenti distinti ma frequentemente utilizzati in sinergia: Amadey, una piattaforma malware-as-a-service (MaaS) osservata attivamente almeno dal 2018, e StealC, un servizio infostealer-as-a-service progettato per la raccolta di password, cookie di autenticazione, portafogli di criptovalute, estensioni del browser e file selezionati in base a criteri definiti dai criminali.

Secondo Microsoft, Amadey e StealC non sono gestiti dalla stessa entità operativa, ma la loro diffusione ha portato numerosi affiliati criminali ad integrarli nello stesso percorso d’attacco. In questo scenario, Amadey viene impiegato per compromettere i dispositivi delle vittime e installare payload malevoli successivi, mentre StealC è utilizzato per sottrarre dati sensibili e credenziali di accesso. L’azienda statunitense sottolinea come questi due strumenti costituiscano un anello comune nella catena che alimenta attacchi ransomware, frodi finanziarie e interruzioni dei servizi pubblici.

Nell’analisi diffusa tramite il blog ufficiale di Microsoft, viene evidenziato l’impiego di tecniche di analisi assistita da intelligenza artificiale, incluso Copilot, per identificare infrastrutture condivise tra le due famiglie di malware. Questa lettura tecnica ha permesso ai legali della Digital Crimes Unit di Microsoft di inquadrare Amadey e StealC come parte di una singola cospirazione criminale, nonostante siano sviluppati da soggetti differenti.

La base giuridica per l’azione è stata costruita attraverso il Racketeer Influenced and Corrupt Organizations Act (RICO), la normativa statunitense utilizzata per contrastare schemi di criminalità organizzata. L’operazione ha portato alla disattivazione di oltre 200 server command-and-control e all’interruzione del controllo criminale su più di 18.000 computer infetti identificati dall’azienda.

I dati comunicati da Europol descrivono un intervento più ampio rispetto alla sola azione intrapresa da Microsoft. Nella pagina dedicata ad Operation Endgame, l’agenzia europea indica che sono stati trattati 326 server e 142 domini da parte delle forze dell’ordine e dei partner privati coinvolti, con un impatto diretto sulla rete di distribuzione dei malware. Europol afferma inoltre che sono stati recuperati fino a 27 milioni di login rubati e identificati asset crittografici di origine criminale per oltre 41 milioni di euro (equivalenti a circa 47 milioni di dollari), sottoponendoli a restrizioni d’uso.

La differenza tra i dati forniti da Microsoft ed Europol risiede nella portata dell’analisi: Microsoft si concentra sulle proprie azioni dirette contro Amadey e StealC, mentre Europol considera l’intero quadro coordinato di Operation Endgame. Per le aziende, il dato relativo alle credenziali rubate sottolinea come gli infostealer non sottraggono solo password isolate, ma anche cookie di sessione e informazioni che possono consentire il riutilizzo degli accessi.

Amadey è descritto dalle fonti come un loader o dropper offerto come servizio. La sua funzione principale è quella di penetrare nei sistemi informatici, raccogliere informazioni rilevanti e consegnare altri payload malevoli. Ars Technica ricorda che nel 2025 Amadey era stato osservato mentre abusava della piattaforma GitHub per raccogliere dati di sistema da dispositivi infetti e installare payload personalizzati.

StealC, invece, si configura come un servizio infostealer-as-a-service. Raccoglie credenziali, cookie di autenticazione, portafogli di criptovalute, estensioni del browser e file che corrispondono a pattern predefiniti dai clienti criminali. In un contesto aziendale, una singola macchina compromessa può esporre account cloud, strumenti collaborativi, pannelli amministrativi, repository di codice e ambienti SaaS se le sessioni sono ancora valide o se le credenziali vengono riutilizzate.

L’azione congiunta contro Amadey, StealC e SocGholish mira a colpire il modello industriale del cybercrime basato su servizi offerti da terzi. Microsoft sostiene che, nelle prime due settimane di maggio 2026, Amadey e StealC sono stati collegati a oltre 140.000 computer infetti in tutto il mondo. Questo dato rappresenta la diffusione osservata dei due strumenti in un periodo limitato e non coincide con il numero effettivo di macchine sottratte al controllo criminale grazie all’azione legale.

SocGholish, malware loader associato al gruppo cybercriminale russo Evil Corp, rientra nel perimetro di Operation Endgame. A differenza di Amadey e StealC, SocGholish viene distribuito tramite siti web compromessi, inducendo gli utenti a installare falsi aggiornamenti del browser o applicazioni trojanizzate presentate come software legittimo. Europol riferisce che nell’ambito dell’operazione sono stati bonificati 14.971 siti infetti, inclusi quelli basati su WordPress, invitando gli amministratori a modificare le credenziali di accesso, attivare l’autenticazione a più fattori, rimuovere account sconosciuti e mantenere aggiornate le piattaforme.

Il coordinamento internazionale dell’operazione è stato gestito da Europol ed Eurojust, con il coinvolgimento delle autorità competenti di Canada, Danimarca, Germania, Paesi Bassi, Regno Unito e Stati Uniti, oltre a Microsoft e altri partner privati. Il tratto comune tra Amadey, StealC e SocGholish è il modello cybercrime-as-a-service, in cui criminali utilizzano strumenti già disponibili per ottenere l’infezione iniziale dei sistemi e avviare attività successive, come estorsioni tramite ransomware o uso fraudolento dei dati.

Per le piccole e medie imprese (PMI), il rischio principale risiede nella dipendenza da credenziali deboli e siti web amministrati con procedure di sicurezza inadeguate. Un sito WordPress non aggiornato, un account senza autenticazione a più fattori o una sessione browser rubata possono diventare l’ingresso per un attacco più complesso. Per le grandi imprese, il caso evidenzia l’importanza della gestione della catena di fornitura degli accessi.

Microsoft sostiene che colpire diversi strumenti contemporaneamente aumenta la difficoltà operativa per i criminali, rendendo più complicato lanciare, scalare e ricostruire gli attacchi dopo la rimozione dei server e dei domini. La bonifica dei siti compromessi richiede l’adozione di misure concrete come il cambio delle credenziali, l’attivazione dell’autenticazione a più fattori, l’eliminazione di account sconosciuti e l’aggiornamento dei sistemi.

La risposta immediata indicata da Europol per i siti compromessi passa da misure concrete: cambio delle credenziali, autenticazione a più fattori, eliminazione di account sconosciuti e aggiornamento dei sistemi. Sono interventi di base, ma direttamente collegati ai vettori descritti nell’operazione: accessi rubati, siti infetti, falsi aggiornamenti e pannelli criminali di comando.

Nel quadro regolatorio e di governance, l’uso di RICO da parte di Microsoft introduce un precedente operativo per le azioni civili contro infrastrutture criminali modulari. La tesi dell’azienda è che strumenti separati possano essere trattati insieme quando analisi tecniche mostrano dipendenze infrastrutturali condivise e un uso coordinato nella stessa catena d’attacco.

L’operazione non elimina il mercato del malware-as-a-service, ma sottrae a diversi operatori server, domini, credenziali e asset finanziari. La chiusura indicata dalle fonti è operativa: meno controllo sui dispositivi già infetti, più difficoltà nel ripristino delle reti criminali e una pressione diretta sui servizi che trasformano un accesso iniziale in frode, furto di dati o estorsione.