Desarticulada la red de Amadey y StealC: 27 M de credenciales recuperadas
Resumen rápido
Una operación policial internacional coordinada con empresas privadas como Bitdefender, ESET y Microsoft ha logrado tumbar la infraestructura criminal que sostenía los malware Amadey y StealC. En total se han recuperado cerca de 27 millones de credenciales robadas. La acción busca interrumpir las cadenas de montaje delictivas que alimentan campañas de ransomware y fraude financiero.
Operación internacional contra dos de los infostealers más activos
Autoridades policiales europeas y norteamericanas, en colaboración estrecha con compañías del sector privado —entre ellas Bitdefender, Bitsight, ESET y Microsoft—, han ejecutado un golpe coordinado contra la infraestructura que mantenía operativos los malware Amadey y StealC. El resultado más tangible ha sido la recuperación de aproximadamente 27 millones de credenciales sustraídas a víctimas de todo el mundo.
Qué son Amadey y StealC
Amadey es un loader distribuido como Malware-as-a-Service que se utiliza para descargar cargas adicionales en equipos comprometidos, facilitando así accesos iniciales que otros actores de amenaza pueden adquirir. StealC, por su parte, es un infostealer moderno capaz de exfiltrar contraseñas, cookies de sesión, datos de carteras de criptomonedas y cualquier credencial almacenada en navegadores y clientes de correo.
Combinados, ambos forman una cadena de ataque muy eficiente: Amadey abre la puerta, StealC vacía el sistema y el material resultante se comercializa en mercados clandestinos o se emplea directamente en campañas de ransomware y fraude financiero.
El objetivo declarado de la operación
Europol ha subrayado que el propósito central era desmantelar lo que denominó las cadenas de montaje que los ciberdelincuentes emplean para escalar sus ataques. Según la agencia, estas estructuras de soporte son las que permiten convertir credenciales robadas en intrusiones a infraestructuras críticas o en despliegues masivos de ransomware.
La intervención ha implicado la incautación y neutralización de servidores de mando y control (C2), portales de administración y repositorios donde se almacenaban los datos exfiltrados.
Impacto y próximos pasos
La recuperación de 27 millones de credenciales representa un volumen considerable, aunque los equipos de seguridad deben asumir que el periodo de exposición puede haber sido prolongado. Las organizaciones cuyos usuarios puedan haber sido víctimas de estos infostealers deberían:
- Rotar contraseñas de cuentas corporativas y personales asociadas a correos de empresa.
- Revocar tokens y cookies de sesión activos, especialmente en servicios SaaS y accesos VPN.
- Revisar registros de autenticación en busca de accesos anómalos previos a la operación.
- Reforzar MFA allí donde todavía no esté habilitado.
Aunque la infraestructura ha sido derribada, el código de ambas familias de malware sigue circulando y es probable que actores oportunistas reconstruyan capacidades en semanas.
¿Estás cubierto en DefensOps?
La cadena de ataque de Amadey y StealC culmina frecuentemente en el despliegue de ransomware, técnica catalogada como T1486 – Data Encrypted for Impact en el marco MITRE ATT&CK. DefensOps incluye cobertura activa para esta técnica mediante la regla 111030, disponible desde el plan Professional.
Además, la plataforma correlaciona señales de comportamiento anómalo en fases previas —acceso inicial, ejecución de loaders y exfiltración de credenciales— para alertar antes de que el ransomware llegue a cifrar.
¿Quieres saber si tu organización estaría protegida frente a amenazas similares?
Consulta nuestros planes o solicita una demo gratuita →
Fuente: The Hacker News – Amadey and StealC Malware Network Disrupted, 27M Stolen Credentials Recovered
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Professional.
Técnicas MITRE ATT&CK: T1486
- Cifrado de datos por ransomware · T1486 · regla 111030 · plan Professional
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.