ESET aiuta a smantellare la botnet Amadey e i server C&C Stealc

L’operazione mirava a sequestrare o rendere inoperativi tutti i server C&C noti di Amadey e Stealc, compromettendo l’infrastruttura e le piattaforme MaaS.

botnet

ESET ha contribuito a smantellare la botnet Amadey e l’infostealer Stealc fornendo analisi, monitoraggio dell’infrastruttura e approfondimenti a livello di affiliati.

Entrambi sono gestiti come malware as a service (MaaS). L’operazione – identicoordinata dalla Digital Crimes Unit (DCU) di Microsoft, da BitSight, Lumen e Mitsui Bussan Secure Directions (MBSD) – ha preso di mira tutte le infrastrutture di rete note utilizzate dagli affiliati di Amadey e Stealc, al fine di paralizzare le loro operazioni di criminalità informatica. Contemporaneamente, l’Europol’s European Cybercrime Centre (EC3), insieme ai partner delle forze dell’ordine europee, tra cui il Germany’s Federal Criminal Police Office e la polizia nazionale olandese e danese, stava indagando su Stealc nell’ambito dell’Operation Endgame, in collaborazione con IBM e Proofpoint.

Il malware Amadey

Il tasso di rilevamento della telemetria di ESET indica che il malware Amadey è stato rilevato a livello globale senza una concentrazione specifica in una determinata regione. I tassi di rilevamento più elevati sono stati registrati in India, Turchia, Egitto, Messico e Spagna. Anche Stealc è stato diffuso a livello globale senza una concentrazione specifica in una regione, con maggiori rilevamenti negli Stati Uniti, in Polonia e in Italia.

ESET ha contribuito a contrastare questa minaccia fornendo analisi tecniche, dati statistici, server di comando e controllo (C&C) noti, chiavi di crittografia, identificatori di campagne e di build, nonché altre informazioni sulle minacce raccolte nel corso del monitoraggio a lungo termine di entrambe le famiglie di malware.

“ESET monitora sia la botnet Amadey che l’infostealer Stealc da tre anni. Ai fini dell’operazione di contrasto, abbiamo condiviso statistiche relative al periodo compreso tra il Q4 2025 e l’H1 2026, insieme agli indicatori tecnici e ai dati di configurazione estratti dai campioni di malware analizzati,” spiega Jakub Tomanek, ESET researcher.

Botnet Amadey e i server C&C Stealc

La condivisione di analisi tecniche, dati statistici e informazioni sulle minacce, quali elenchi di server C&C, identificatori di affiliati e chiavi di crittografia, consente alle forze dell’ordine di identificare, classificare in ordine di priorità e intervenire contro le infrastrutture con un elevato grado di certezza.

Amadey è un loader modulare di malware. Il suo scopo principale è quello di distribuire ulteriori malware suisistemi compromessi, sebbene offra anche moduli per l’esfiltrazione di dati e l’accesso remoto. Stealc, al contrario, è un tipico infostealer as a service. Prende di mira credenziali, cookie, portafogli di criptovalute, estensioni del browser e file che corrispondono a modelli definiti dagli affiliati.

Malware venduto come servizio

Entrambe le famiglie malware sono vendute come servizi e pubblicizzate su forum del darknet. In entrambi gli ecosistemi, gli affiliati ricevono un pannello di amministrazione self-hosted che deve essere distribuito sulla propria infrastruttura server. Ciò richiede un determinato livello di competenze tecniche da parte degli affiliati e offre loro un controllo diretto sui dati delle vittime e sulla distribuzione dei payload.

Sebbene i metodi di distribuzione dipendano in ultima analisi da ciascun singolo affiliato, la telemetria di ESET ha mostrato costantemente che entrambe le famiglie malware venivano distribuite attraverso un’ampia gamma di canali. I metodi più comuni includevano falsi aggiornamenti software, installer di software crackato e loader malware di terze parti.

MSP

La minaccia delle botnet

Amadey utilizzava un modello pay-per-rebuild. Gli affiliati acquistavano una licenza e pagavano poi un costo aggiuntivo ogni volta che avevano bisogno di generare una nuova build, ad esempio in caso di passaggio a un nuovo server C&C. In altre parole, gli operatori di Amadey non fornivano agli affiliati uno strumento di builder; i campioni venivano invece compilati su richiesta per ciascun affiliato. Il servizio offre tre moduli per l’ulteriore esfiltrazione dei dati e l’accesso: un modulo di monitoraggio degli appunti, un modulo per il furto di credenziali e un modulo di accesso remoto basato su VNC. Il servizio ha un prezzo di 600 dollari statunitensi in Bitcoin per una singola licenza, con un costo aggiuntivo di 50 dollari per ogni rebuild.

Il malware Stealc

Stealc adottava un approccio più favorevole agli affiliati, offrendo la generazione illimitata di build come parte dell’abbonamento. Ciò riduceva il costo operativo della rotazione dell’infrastruttura C&C e rendeva più semplice per gli affiliati generare nuovi campioni quando necessario. Il malware prende di mira un’ampia gamma di fonti di dati, tra cui le credenziali memorizzate da browser web, client email, client FTP, piattaforme di gaming, file di wallet di criptovalute ed estensioni del browser. Stealc viene venduto tramite abbonamento mensile, con l’offerta più economica pari a 1.000 dollari statunitensi per sei mesi.

Nel tentativo di evitare truffe di impersonificazione, entrambi gli operatori invitavano esplicitamente i potenziali affiliati, sui forum del darknet, a contattarli esclusivamente attraverso canali ufficiali. Amadey indirizzava gli acquirenti verso messaggi privati sul forum del darknet in cui veniva pubblicizzato, mentre Stealc utilizzava messaggi privati sui forum del darknet o Telegram.