Amadey, operasi malware StealC terganggu dalam aksi Operasi Endgame

Microsoft, Europol, dan mitra internasional telah mengganggu infrastruktur yang digunakan oleh operasi malware Amadey dan StealC sebagai bagian dari Operation Endgame, yang menargetkan layanan penjahat dunia maya dan geng ransomware.

Tindakan penegakan hukum ini melibatkan pihak berwenang dan mitra swasta dari berbagai negara, yang membantu dalam mengidentifikasi dan menghapus, menyita, memblokir, atau menenggelamkan infrastruktur yang terkait dengan keluarga malware.

Menurut Europol, operasi tersebut mengakibatkan gangguan pada 326 server dan 142 domain, Penyelidik juga mengidentifikasi lebih dari €41 juta ($47 juta) dalam mata uang kripto yang terkait dengan aktivitas kriminal dan memulihkan sekitar 27 juta kredensial yang dicuri dari lebih dari 385 ribu sistem yang disusupi.

“Dengan menghapus alat-alat ini secara bersamaan, kolaborasi antara penegak hukum dan pihak swasta telah meningkatkan gesekan bagi penjahat dunia maya, sehingga mempersulit keberhasilan, penyebaran, atau pemulihan serangan,” mengumumkan Europol.

Tindakan terkoordinasi juga SocGholish yang ditargetkan (Pembaruan Palsu)pemuat malware yang menginfeksi pengunjung melalui situs web yang disusupi dan memberikan permintaan pembaruan browser palsu.

Operasi Endgame melibatkan lembaga penegak hukum dari Kanada, Denmark, Jerman, Belanda, Inggris, dan Amerika Serikat, dengan Europol dan Eurojust yang mengoordinasikan upaya tersebut. Dukungan sektor swasta disediakan oleh Microsoft, ESET, Proofpoint, IBM X-Force, Bitsight, Infoblox, Orange Cyberdefense, Shadowserver, Have I Been Pwned, Spamhaus, dan lain-lain.

Menurut Europol, operasi tersebut berfokus pada mengganggu infrastruktur kejahatan dunia maya yang digunakan pelaku ancaman untuk mendapatkan akses awal ke sistem, mencuri kredensial, dan pada akhirnya menyebarkan ransomware atau melakukan penipuan keuangan.

Amadey dan StealC dijual kepada penjahat dunia maya melalui operasi malware-as-a-service, di mana afiliasi membayar untuk akses ke pembuat malware, panel manajemen, dukungan, dan infrastruktur.

Penjahat menggunakan Amadey untuk mendapatkan pijakan awal di perangkat korban untuk menyebarkan malware tambahan. StealC digunakan untuk mencuri kredensial, dompet mata uang kripto, dan informasi sensitif lainnya yang nantinya dapat dijual atau dimanfaatkan dalam serangan ransomware.

Amadey adalah botnet malware yang digunakan oleh keduanya geng ransomware Dan kelompok peretasan yang disponsori negara untuk melanggar jaringan. Baru-baru ini, StealC telah banyak digunakan dalam berbagai serangan ClickFix, seperti video instruksional palsu di TikTok Dan Serangan FileFix.

Dalam gugatan perdata yang diajukan oleh Microsoft di AS, Unit Kejahatan Digital Microsoft mengatakan pihaknya mengidentifikasi lebih dari 200 domain perintah dan kontrol berbahaya serta alamat IP yang terkait dengan Amadey dan StealC dan bekerja dengan mitra untuk menutup infrastruktur melalui perintah pengadilan, penyitaan domain, pendaftaran, dan pemberitahuan penyedia.

Menurut Keluhan Microsoftkredensial curian yang diambil melalui StealC biasanya dijual di pasar bawah tanah dan melalui broker akses awal (IAB).

Kredensial ini kemudian digunakan oleh pelaku ancaman lain untuk melanggar jaringan, mencuri data, dan menyebarkan ransomware.

Perusahaan tersebut mengatakan kedua keluarga malware tersebut terkait dengan lebih dari 140.000 perangkat yang terinfeksi selama dua minggu pertama bulan Mei 2026 saja.

Mitra swasta lainnya merilis laporan keterlibatan mereka dalam gangguan tersebut.

Vendor keamanan kata ESET itu membantu operasi dengan mengidentifikasi dan mengganggu infrastruktur yang digunakan oleh kedua keluarga malware. Perusahaan melaporkan bahwa tindakan tersebut mempengaruhi sekitar 50 domain yang digunakan oleh operasi dan hampir 200 server perintah dan kontrol yang aktif.

Proofpoint dan IBM X-Force juga berkontribusi analisis intelijen dan malware yang mendukung gangguan tersebut.

Bitsight mengatakannya membantu operasinya dengan mengidentifikasi dan menganalisis infrastruktur yang terkait dengan kedua keluarga malware, membantu penyelidik memetakan server dan infrastruktur perintah dan kontrol terkait yang digunakan oleh pelaku ancaman.

Gangguan tersebut merupakan fase terbaru dari Operation Endgame, yang sebelumnya mengganggu keluarga malware lainnya, seperti DanaBot, Kumbang, Rhadamanthys, VenomRAT, ElysiumDan Pemuat Asap.

Sayangnya, kecuali penangkapan dilakukan dalam operasi tersebut, para pelaku ancaman umumnya membangun kembali infrastruktur ke melancarkan serangan baru.