// TOM'S HARDWARE ITALIA — CYBERSECURITY
Microsoft e la polizia smantellano Amadey e StealC: stop a frodi per 47 milioni
Microsoft, Europol e una rete di autorità e partner privati hanno colpito una filiera criminale usata per accessi iniziali, furti di credenziali, frodi finanziarie e ransomware. Secondo la ricostruzione pubblicata da Ars Technica, l’operazione ha interrotto strumenti e infrastrutture collegati ad Amadey, StealC e SocGholish, recuperando fino a 27 milioni di credenziali rubate e individuando asset crypto di origine criminale per oltre 47 milioni di dollari.
Il punto operativo è stato l’attacco simultaneo a due strumenti separati ma spesso usati insieme: Amadey, piattaforma malware-as-a-service osservata almeno dal 2018, e StealC, servizio infostealer-as-a-service progettato per raccogliere password, cookie di autenticazione, wallet crypto, estensioni browser e file selezionati in base a schemi definiti dai clienti criminali.
Secondo Microsoft, Amadey e StealC non appartengono alla stessa struttura operativa e sono gestiti in modo indipendente. La loro diffusione, però, ha portato molti affiliati criminali a usarli nello stesso percorso d’attacco: il primo per compromettere i dispositivi e installare payload successivi, il secondo per sottrarre dati e credenziali. Nell’analisi diffusa dal blog ufficiale di Microsoft, l’azienda sostiene che i due strumenti formassero un anello comune nella catena che alimenta ransomware, frodi finanziarie e interruzioni di servizi pubblici.
La società ha dichiarato di aver usato analisi assistita da intelligenza artificiale, incluso Copilot, per individuare infrastrutture condivise tra le due famiglie di malware. Questa lettura tecnica ha consentito ai legali della Digital Crimes Unit di Microsoft di trattare Amadey e StealC come parte di una stessa cospirazione, pur essendo strumenti sviluppati da soggetti differenti.
Il passaggio giuridico è stato costruito attraverso il Racketeer Influenced and Corrupt Organizations Act, la normativa statunitense nota come RICO, usata per colpire schemi di criminalità organizzata. Stando a Microsoft, l’azione ha portato alla disruption di oltre 200 server command-and-control e ha reciso il controllo criminale su più di 18.000 computer infetti identificati dall’azienda.
I numeri comunicati da Europol descrivono una manovra più ampia della sola azione civile di Microsoft. Nella pagina di aggiornamento su Operation Endgame, l’agenzia europea indica 326 server e 142 domini trattati da forze dell’ordine e partner privati, con un impatto diretto sulla rete di distribuzione dei malware.
Europol afferma inoltre che sono stati recuperati fino a 27 milioni di login rubati e che asset crypto di origine criminale per oltre 41 milioni di euro, pari a circa 47 milioni di dollari, sono stati identificati, segnalati e sottoposti a restrizioni d’uso. La differenza tra i dati Microsoft e quelli Europol dipende dal perimetro: Microsoft parla della propria azione su Amadey e StealC, mentre Europol include il quadro coordinato di Operation Endgame.
Per le imprese, il dato sulle credenziali ha una lettura immediata: gli infostealer non sottraggono solo password isolate, ma anche cookie di sessione e informazioni che possono permettere il riuso degli accessi. Nel modello descritto dalle fonti, il furto iniziale può diventare materiale rivenduto, usato per frodi oppure trasformato in punto di partenza per ransomware e accessi più mirati.
Amadey è descritto dalle fonti come un loader o dropper offerto come servizio. La sua funzione è entrare nei sistemi, raccogliere informazioni e consegnare altri payload. Ars Technica ricorda che nel 2025 era stato osservato mentre abusava di GitHub per raccogliere dati di sistema da dispositivi infetti e installare payload personalizzati.
StealC ha invece un profilo diverso: è un infostealer-as-a-service. Raccoglie credenziali, cookie di autenticazione, wallet di criptovalute, estensioni browser e file corrispondenti a pattern definiti dai clienti. In un ambiente aziendale questo significa che un singolo endpoint compromesso può esporre acc