Microsoft recurre a la IA para conectar dos redes de malware y llevarlas ante los tribunales

En un movimiento que combina capacidades de inteligencia artificial con acciones legales civiles, Microsoft ha logrado vincular las operaciones detrás de StealC y Amadey, dos familias de malware habitualmente asociadas al robo de credenciales y la distribución de cargas secundarias. El resultado práctico más inmediato: el desmantelamiento de más de 200 servidores de mando y control (C2).

¿Qué son StealC y Amadey?

Amadey lleva activo desde hace varios años y funciona principalmente como un loader o descargador: su objetivo es establecer un punto de apoyo en el sistema comprometido y luego desplegar otras amenazas. StealC, por su parte, es un infostealer cuya especialidad es la exfiltración de credenciales, datos de navegadores y billeteras de criptomonedas. Ambas familias se comercializan o distribuyen en entornos de cibercrimen como servicio (MaaS), lo que complica rastrear responsabilidades concretas.

El papel de la inteligencia artificial en la investigación

Lo llamativo del caso no es solo el resultado operativo, sino el método: Microsoft empleó herramientas de IA para analizar patrones de infraestructura, comportamiento de red y metadatos técnicos que, de forma aislada, parecerían pertenecer a grupos independientes. La correlación automatizada permitió establecer un nexo suficientemente sólido para sustentar una demanda civil por racketeering —es decir, crimen organizado— en lugar de limitarse a una notificación de abuso a proveedores de hosting.

Este enfoque legal, que Microsoft ya ha empleado con éxito contra otras redes como Trickbot o los grupos que abusaban de Azure OpenAI, busca obtener órdenes judiciales que autoricen el control o la desconexión de dominios e IPs maliciosas. La IA actúa aquí como motor de correlación a escala, haciendo viable lo que sería inabordable para analistas humanos trabajando manualmente.

Implicaciones para los equipos de seguridad

El cierre de más de 200 servidores C2 supone una perturbación significativa para las campañas que dependen de estas familias, aunque la experiencia con otras operaciones similares indica que los actores detrás de estos proyectos suelen reconstruir su infraestructura en semanas. La detección temprana del tráfico C2 en la red interna sigue siendo, por tanto, una capa de defensa crítica.

Además, la demanda por racketeering podría establecer precedente sobre cómo la industria privada puede usar el sistema judicial estadounidense para atacar infraestructuras de cibercrimen globales, más allá de las jurisdicciones donde operan los servidores.


Fuente: The Register – Microsoft uses AI to link two malware operations in racketeering suit


¿Estás cubierto en DefensOps?

Tanto Amadey como StealC establecen comunicaciones con su infraestructura C2 mediante tráfico HTTP/S, una táctica catalogada en MITRE ATT&CK como T1071.001 (Application Layer Protocol: Web Protocols). DefensOps detecta este comportamiento mediante la regla 111021, disponible desde el plan Professional, que identifica patrones de beaconing y comunicaciones C2 encubiertas sobre canales web.

Si quieres saber si tu entorno detectaría este tipo de amenaza antes de que el daño esté hecho, consulta nuestros planes o solicita una demo personalizada.

👉 Ver planes y solicitar demo en DefensOps