Operación Endgame golpea a Amadey y StealC con apoyo de Microsoft
Resumen rápido
Una nueva fase de la Operación Endgame ha desmantelado infraestructura crítica vinculada a las operaciones de malware Amadey y StealC. La acción, coordinada entre Europol, Microsoft y socios internacionales, continúa el esfuerzo por desarticular servicios criminales que alimentan cadenas de ransomware. El golpe afecta directamente a actores que emplean estos stealers como vector previo al despliegue de cargas destructivas.
Europol, Microsoft y aliados internacionales neutralizan infraestructura de Amadey y StealC
La Operación Endgame, la iniciativa policial de largo aliento que lleva meses apuntando a ecosistemas criminales vinculados al ransomware, ha sumado una nueva acción significativa: la interrupción de la infraestructura operativa detrás de dos familias de malware bien conocidas en el mundo del cibercrimen, Amadey y StealC.
Qué son Amadey y StealC
Amadey es un loader —un cargador de malware— que existe desde hace varios años en foros clandestinos. Se comercializa como un servicio (MaaS, Malware-as-a-Service) y se usa habitualmente para descargar cargas adicionales en sistemas comprometidos, incluyendo stealers, ransomware y otros implantes. Su flexibilidad y bajo coste de acceso lo han convertido en una pieza habitual en las cadenas de infección de múltiples grupos criminales.
StealC, por su parte, es un infostealer relativamente más reciente que surgió con fuerza en 2023. Está diseñado para extraer credenciales, cookies de sesión, carteras de criptomonedas y datos de navegadores, y también opera bajo modelo de suscripción en la economía criminal. Ambas herramientas suelen actuar en fases tempranas de un ataque, preparando el terreno para operaciones más destructivas como el cifrado de datos con ransomware.
El alcance de la operación
La acción forma parte de la segunda fase de la Operación Endgame, un marco de cooperación internacional liderado por Europol que busca atacar no solo a grupos de ransomware concretos, sino a los servicios e infraestructuras que los hacen posibles: botnets, droppers, loaders y stealers que conforman el sustrato técnico del cibercrimen organizado. La participación de Microsoft aporta inteligencia de amenazas y capacidad técnica para rastrear y desconectar servidores y dominios asociados.
Aunque los detalles completos de la infraestructura desmantelada no han sido divulgados públicamente en su totalidad, la coordinación entre el sector privado y los cuerpos policiales europeos y norteamericanos ilustra el modelo operativo que está ganando terreno frente al cibercrimen: no basta con detener a individuos, hay que destruir las herramientas que permiten escalar los ataques.
Por qué importa a los equipos de seguridad
Las disrupciones de este tipo tienen un efecto real, aunque temporal: elevan el coste operativo para los atacantes, los obligan a reconstruir infraestructura y, en muchos casos, desorganizan las cadenas de suministro del crimen. Sin embargo, la historia reciente demuestra que este tipo de malware tiende a resurgir en nuevas variantes o bajo nuevos operadores. Los equipos de seguridad deben mantenerse alerta ante indicadores de compromiso actualizados y no dar por zanjada la amenaza.
En términos prácticos, tanto Amadey como StealC han servido repetidamente como precursores de ataques de ransomware. La técnica T1486 de MITRE ATT&CK —cifrado de datos por parte de actores de ransomware— es el destino frecuente de las cadenas de infección que estos loaders e infostealers inician. Interrumpir estas herramientas en etapas tempranas es, en esencia, prevenir que muchos ataques lleguen a su fase final y más dañina.
¿Estás cubierto en DefensOps?
La actividad asociada a Amadey, StealC y las cadenas de ataque que culminan en ransomware está cubierta en la plataforma DefensOps mediante reglas específicas alineadas con MITRE ATT&CK:
| Técnica MITRE | Descripción | Regla | Plan mínimo |
|---|---|---|---|
| T1486 | Cifrado de datos por ransomware | Regla 111030 | Professional |
Si tu organización dispone del plan Professional, ya cuenta con detección activa para la fase de cifrado de datos que suele ser el colofón de cadenas de infección iniciadas por loaders como Amadey. Te recomendamos revisar también los controles de detección de stealers en etapas tempranas de la cadena de ataque.
👉 Consulta todos los planes y solicita una demo en nuestra página de precios para asegurarte de que tu cobertura está a la altura de amenazas como las desarticuladas en la Operación Endgame.
Fuente: BleepingComputer — Amadey, StealC malware operations disrupted in Operation Endgame action
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Professional.
Técnicas MITRE ATT&CK: T1486
- Cifrado de datos por ransomware · T1486 · regla 111030 · plan Professional
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.