Microsoft blocca oltre 200 nodi C2

L’azione del 24 giugno ha puntato ai server che impartivano ordini e ricevevano materiale sottratto. La disattivazione simultanea ha ostacolato l’ingresso iniziale sui PC e la successiva raccolta delle identità digitali. Il bersaglio comune era la rete che consentiva a gruppi separati di lavorare sulla medesima infezione.

Sommario dei contenuti

140mila infezioni e 18mila PC liberati sono due conteggi distinti

Le oltre 140mila infezioni misurano la diffusione collegata ad Amadey e StealC nelle prime due settimane di maggio 2026. Le oltre 18mila macchine riguardano i dispositivi che Microsoft dichiara di aver individuato e sottratto al comando remoto nel corso dell’operazione.

Nessun documento stabilisce che i due insiemi coincidano. Sommarli falserebbe il bilancio. Anche la cronaca di ANSA conserva la separazione tra ampiezza delle infezioni e dispositivi sui quali il collegamento criminale è stato reciso.

Le attività sul campo si sono concentrate dal 15 al 19 giugno

Le attività sul campo si sono svolte dal 15 al 19 giugno 2026. L’annuncio del 24 giugno ha riunito la componente Microsoft dedicata ad Amadey e StealC con il nuovo capitolo europeo di Operation Endgame.

I 140mila casi e i 18mila dispositivi appartengono alla comunicazione sulle due famiglie. La soglia superiore a duecento riguarda i loro nodi C2. I totali europei includono anche SocGholish e coprono un perimetro più esteso, come risulta dalla cronologia dell’operazione europea.

Amadey installa il carico successivo sul PC

Amadey circola almeno dal 2018 ed è venduto come servizio. Una volta avviato su Windows contatta il proprio server C2, riceve incarichi e scarica ulteriori componenti. StealC compare fra i carichi distribuiti nelle campagne in cui l’accesso iniziale viene monetizzato con il furto di account.

Il primo malware prepara il dispositivo a eseguire codice scelto dall’affiliato. L’accesso già ottenuto diventa merce rivendibile. La stessa funzione di loader compare nelle telemetrie di ESET e Bitsight, che registrano una distribuzione senza un solo centro geografico.

StealC estrae credenziali e sessioni dai browser

StealC è offerto in abbonamento dal 2023. Cerca password salvate, cookie di sessione, portafogli di criptovalute e informazioni conservate da programmi desktop. Gli affiliati governano le campagne tramite pannelli web propri e scelgono quali file sottrarre.

Amadey consegna altri malware mentre StealC esfiltra credenziali. La divisione dei compiti compare anche nella scheda di MBSD. I pannelli distribuiti fra numerosi affiliati frammentano la rete e moltiplicano i server da individuare.

I server C2 collegavano famiglie sviluppate separatamente

Amadey e StealC sono nati da sviluppatori separati. Gli affiliati amministrano spesso pannelli su server propri. Microsoft ha individuato sovrapposizioni sufficienti a collegare le due reti nella medesima azione, senza attribuire tutte le infezioni a un solo centro di comando.

La frammentazione documentata da Infosecurity Magazine misura la portata del bersaglio. Un intervento limitato al loader avrebbe lasciato disponibili i pannelli dello stealer. Un’azione isolata su StealC avrebbe conservato altri canali di consegna. Il blocco simultaneo ha interrotto una parte dell’accesso e una parte della monetizzazione.

Download ingannevoli e ClickFix alimentano la diffusione

Le campagne usano pubblicità malevole e pagine di ricerca manipolate per offrire copie alterate di programmi popolari. Nei pacchetti compaiono anche crack e trucchi per videogiochi. ClickFix persuade la vittima a incollare un comando nella finestra Esegui o nel terminale. Il phishing conserva spazio nelle campagne rivolte a persone o imprese già selezionate.

Molte infezioni iniziano da un’azione volontaria indotta. Il file viene scaricato oppure il comando viene eseguito dalla vittima e le difese vedono un’attività avviata con credenziali legittime. BleepingComputer registra la stessa prevalenza di traffico web ingannevole e tecniche che delegano l’esecuzione all’utente.

Copilot ha accorciato l’esame dei binari malware

Copilot ha avuto un compito circoscritto. Ha accelerato l’esame dei binari e l’estrazione delle configurazioni. Il gruppo investigativo lo ha impiegato anche sul codice disassemblato per confermare indirizzi C2 incorporati nei file malevoli.

Le risultanze prodotte con Copilot sono state confrontate con telemetrie, emulazione dei client, mappatura dei domini e attività investigative. Connessioni che richiedevano ore o giorni sono emerse in minuti. Il ricorso all’IA ha abbreviato la ricerca senza sostituire gli atti giudiziari richiesti per sequestri e blocchi.

Il precedente interno più vicino è il lavoro di Microsoft sugli agenti dedicati alla ricerca di vulnerabilità Windows, raccontato nel pezzo su MDASH e le 16 falle individuate. Qui l’IA è stata applicata a binari criminali già raccolti e alla loro rete di comando.

Una vulnerabilità nel pannello StealC ha aperto i server agli investigatori

Nel pannello C2 di StealC esisteva una vulnerabilità capace di consentire il caricamento di una web shell. Le forze dell’ordine l’hanno impiegata durante le attività di ricerca e sequestro dei server.

Il difetto ha sostenuto l’operazione e ha consentito di cercare e sequestrare server StealC. Il resoconto ingegneristico di IBM X-Force e Proofpoint documenta lo stesso exploit. Un servizio criminale costruito per sottrarre credenziali esponeva i propri gestori allo stesso genere di intrusione venduto agli affiliati.

Il RICO ha riunito più servizi nella stessa causa civile

Microsoft ha invocato il Racketeer Influenced and Corrupt Organizations Act nella causa civile collegata all’operazione. La norma statunitense ha consentito di trattare più soggetti coinvolti nei servizi malware come parti della stessa attività coordinata.

La sovrapposizione dei server ha offerto il legame materiale fra famiglie sviluppate separatamente. SecurityWeek e The Register registrano lo stesso ampliamento dell’uso civile del RICO contro operatori e affiliati collocati in segmenti diversi della filiera. La causa promossa da Microsoft resta distinta dalle indagini penali delle autorità nazionali.

Il blocco ha combinato provvedimenti giudiziari e interventi dei provider

Il piano ha combinato ordini del giudice, sequestro di domini, registrazioni difensive e notifiche ai fornitori di rete. Ogni nodo richiedeva una via diversa: un dominio trasferibile poteva essere sottratto al gestore mentre un indirizzo IP dipendeva dall’intervento dell’operatore che lo ospitava.

La pluralità dei canali smentisce l’immagine di un singolo interruttore spento da Microsoft. Cybersecurity Dive e SC Media attestano la combinazione fra causa civile e blocchi presso i provider. Le attività delle forze dell’ordine hanno operato sul versante dei sequestri.

I cookie rubati mantengono aperte sessioni già autenticate

Un cookie di sessione rappresenta un accesso già autorizzato. Quando StealC lo sottrae e l’attaccante riesce a riutilizzarlo, il servizio remoto vede una sessione esistente e potrebbe non chiedere un nuovo codice multifattore.

La sostituzione della password da sola non chiude sempre le sessioni già emesse. Servono la revoca delle sessioni attive e l’invalidazione dei token collegati. Il pezzo dedicato alle credenziali violate in Italia mostra perché il furto dell’identità digitale continua a produrre accessi dopo la rimozione del file malevolo.

Un PC personale infetto espone anche account aziendali

L’infezione iniziale avviene spesso su un dispositivo poco sorvegliato. Se quel computer conserva accessi VPN, posta aziendale, servizi cloud o token SSO, StealC trasferisce il problema oltre il singolo utente.

L’azienda potrebbe vedere soltanto un login eseguito con credenziali valide. L’assenza di un file malevolo sull’endpoint gestito non esclude che l’identità del dipendente sia stata sottratta altrove. The Record conferma la funzione degli infostealer come ponte fra compromissione domestica e intrusione aziendale.