Microsoft desmantela 200+ servidores C2 de StealC y Amadey con IA
Resumen rápido
Microsoft ha utilizado inteligencia artificial para vincular dos operaciones de malware distintas —StealC y Amadey— en el marco de una demanda civil por extorsión organizada. La investigación derivó en el cierre de más de 200 servidores de mando y control. La acción legal combina análisis técnico avanzado con herramientas jurídicas para golpear la infraestructura criminal.
Microsoft recurre a la IA para conectar dos redes de malware y llevarlas ante los tribunales
En un movimiento que combina capacidades de inteligencia artificial con acciones legales civiles, Microsoft ha logrado vincular las operaciones detrás de StealC y Amadey, dos familias de malware habitualmente asociadas al robo de credenciales y la distribución de cargas secundarias. El resultado práctico más inmediato: el desmantelamiento de más de 200 servidores de mando y control (C2).
¿Qué son StealC y Amadey?
Amadey lleva activo desde hace varios años y funciona principalmente como un loader o descargador: su objetivo es establecer un punto de apoyo en el sistema comprometido y luego desplegar otras amenazas. StealC, por su parte, es un infostealer cuya especialidad es la exfiltración de credenciales, datos de navegadores y billeteras de criptomonedas. Ambas familias se comercializan o distribuyen en entornos de cibercrimen como servicio (MaaS), lo que complica rastrear responsabilidades concretas.
El papel de la inteligencia artificial en la investigación
Lo llamativo del caso no es solo el resultado operativo, sino el método: Microsoft empleó herramientas de IA para analizar patrones de infraestructura, comportamiento de red y metadatos técnicos que, de forma aislada, parecerían pertenecer a grupos independientes. La correlación automatizada permitió establecer un nexo suficientemente sólido para sustentar una demanda civil por racketeering —es decir, crimen organizado— en lugar de limitarse a una notificación de abuso a proveedores de hosting.
Este enfoque legal, que Microsoft ya ha empleado con éxito contra otras redes como Trickbot o los grupos que abusaban de Azure OpenAI, busca obtener órdenes judiciales que autoricen el control o la desconexión de dominios e IPs maliciosas. La IA actúa aquí como motor de correlación a escala, haciendo viable lo que sería inabordable para analistas humanos trabajando manualmente.
Implicaciones para los equipos de seguridad
El cierre de más de 200 servidores C2 supone una perturbación significativa para las campañas que dependen de estas familias, aunque la experiencia con otras operaciones similares indica que los actores detrás de estos proyectos suelen reconstruir su infraestructura en semanas. La detección temprana del tráfico C2 en la red interna sigue siendo, por tanto, una capa de defensa crítica.
Además, la demanda por racketeering podría establecer precedente sobre cómo la industria privada puede usar el sistema judicial estadounidense para atacar infraestructuras de cibercrimen globales, más allá de las jurisdicciones donde operan los servidores.
Fuente: The Register – Microsoft uses AI to link two malware operations in racketeering suit
¿Estás cubierto en DefensOps?
Tanto Amadey como StealC establecen comunicaciones con su infraestructura C2 mediante tráfico HTTP/S, una táctica catalogada en MITRE ATT&CK como T1071.001 (Application Layer Protocol: Web Protocols). DefensOps detecta este comportamiento mediante la regla 111021, disponible desde el plan Professional, que identifica patrones de beaconing y comunicaciones C2 encubiertas sobre canales web.
Si quieres saber si tu entorno detectaría este tipo de amenaza antes de que el daño esté hecho, consulta nuestros planes o solicita una demo personalizada.
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Professional.
Técnicas MITRE ATT&CK: T1071.001
- C2 sobre HTTP/S (Cobalt Strike beaconing) · T1071.001 · regla 111021 · plan Professional
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.