L’operazione, coordinata da Europol, ha colpito 66 domini e 296 server associati ad Amadey e StealC, portando al sequestro di oltre 25,6 milioni di credenziali univoche rubate da più di 385.000 sistemi compromessi
StealC è un noto malware-as-a-service all’interno del crescente ecosistema degli infostealer. Poiché l’identità digitale continua a rappresentare un obiettivo privilegiato per i cybercriminali, l’economia legata al furto di credenziali costituisce una minaccia significativa e in crescita per aziende e privati cittadini.
Per contrastare questo fenomeno, forze dell’ordine e realtà private hanno collaborato a livello globale per colpire e smantellare StealC e l’ecosistema che lo supporta.
IBM X-Force e Proofpoint hanno partecipato a questa azione collettiva congiunta, condotta nel giugno 2026 nell’ambito di Operation Endgame da agenzie di polizia e partner privati.
Il 24 giugno 2026, le forze dell’ordine e i partner privati hanno annunciato un’azione di smantellamento contro StealC che ha preso di mira 66 domini e 296 server associati ad Amadey e StealC. Inoltre, la Digital Crimes Unit di Microsoft ha intentato una causa civile contro diversi presunti facilitatori coinvolti in StealC e Amadey, riuscendo a smantellare l’infrastruttura associata al malware.
Lo smantellamento e la causa civile associata avranno un impatto sulle operazioni del malware sia da un punto di vista tattico che reputazionale. Sulla base dell’efficacia delle precedenti iniziative di Operation Endgame, questa interruzione avrà probabilmente un impatto notevole su StealC, con un blocco dei servizi e della distribuzione del malware, danni reputazionali e finanziari, oltre alla perdita di clienti.
StealC è un popolare infostealer venduto come malware-as-a-service (MaaS) dal gennaio 2023. I clienti di questo servizio, definiti anche affiliati, acquistano un installer basato su Linux per il pannello di comando e controllo (C2), attraverso cui possono creare campioni di malware e distribuirli per rubare dati sensibili dalle vittime. Questi vengono poi elaborati e archiviati sul server del panello, che gli affiliati utilizzano per gestire le infezioni attive, distribuire payload secondari e aggiornare le configurazioni.
Una parte consistente della ricerca di Proofpoint si è basata sull’estrazione delle configurazioni da quanti più campioni di StealC possibile, strutture dati memorizzate nel malware, solitamente in forma cifrata o offuscata, che vengono successivamente decifrate e lette dal malware stesso. Le configurazioni possono contenere impostazioni importanti utilizzate dal malware, come gli indirizzi C2, gli ID delle campagne e degli affiliati, gli ID univoci dei client/bot, le chiavi di cifratura per le comunicazioni C2 e così via.
A inizio 2026, durante la collaborazione con le forze dell’ordine, abbiamo identificato una vulnerabilità nei pannelli C2 di StealC. È stato creato un exploit, testato e successivamente utilizzato dalle forze dell’ordine a livello globale nelle azioni investigative e di smantellamento per perquisire e sequestrare i server di StealC.
Proofpoint e X-Force hanno ottenuto campioni di StealC da fonti di dati interne ed esterne, come VirusTotal, e partner di condivisione. Ognuno di essi è stato inserito in sandbox per malware e sono stati eseguiti script di estrazione delle configurazioni sul malware, consentendo di leggere, elaborare e archiviare le configurazioni.
Questo ultimo sforzo di smantellamento rappresenta un ulteriore passo avanti nella più ampia serie di iniziative di Operation Endgame che prende di mira l’ecosistema del cybercrimine e i servizi che lo sostengono. Raccogliendo intelligence e monitorando le infrastrutture malevole, X-Force e Proofpoint hanno fornito un supporto fondamentale alle forze dell’ordine, alla Digital Crimes Unit di Microsoft e ad altri partner del settore privato. Queste solide collaborazioni dimostrano come un’azione coordinata possa indebolire concretamente le operazioni cybercriminali.
La missione di Proofpoint è fornire ai propri clienti la migliore protezione incentrata sulle persone dalle minacce avanzate. Quando possibile e opportuno, come in questo caso, Proofpoint utilizza conoscenze e competenze del proprio team per contribuire a proteggere un pubblico più ampio dalle minacce malware su larga scala. Proofpoint è orgogliosa di aver supportato le forze dell’ordine nelle indagini su StealC.
Grazie alla sua posizione di osservazione privilegiata, Proofpoint è in grado di identificare le campagne di distribuzione di malware più estese e di maggiore impatto, fornendo alle autorità insight essenziali sulle minacce più gravi per la società che colpiscono il maggior numero di persone nel mondo.
