🛡️ Executive Summary
- Operazione Endgame interrompe infrastrutture di SocGholish, Amadey e Stealc con il sequestro di centinaia di server e domini.
- Recuperate 27 milioni di credenziali rubate e bloccati oltre 41 milioni di euro in asset crypto collegati al cybercrime.
- L’azione coordinata tra autorità e aziende private colpisce la catena iniziale degli attacchi ransomware e malware-as-a-service.
L’Operazione Endgame segna uno dei più importanti interventi internazionali mai realizzati contro l’ecosistema del cybercrime-as-a-service. Coordinata da Europol ed Eurojust, con il coinvolgimento delle autorità di Australia, Belgio, Canada, Danimarca, Francia, Germania, Paesi Bassi, Regno Unito e Stati Uniti, l’operazione ha preso di mira le infrastrutture che alimentano alcune delle più diffuse campagne malware utilizzate per distribuire ransomware, infostealer e strumenti di accesso remoto. L’intervento si è concentrato sulle famiglie SocGholish, Amadey e Stealc, considerate elementi fondamentali della catena iniziale delle compromissioni informatiche. Oltre allo smantellamento di server e domini, l’operazione ha portato al recupero di milioni di credenziali rubate, al sequestro di infrastrutture criminali e al blocco di ingenti patrimoni in criptovalute, dimostrando come la cooperazione internazionale tra forze dell’ordine e aziende di cybersecurity possa colpire in maniera efficace l’infrastruttura tecnica su cui si fonda il crimine informatico moderno.
Cosa leggere
Operazione Endgame colpisce il primo anello della catena di attacco
L’obiettivo strategico dell’Operazione Endgame non è stato quello di intervenire direttamente contro i gruppi ransomware già operativi, bensì di interrompere la fase iniziale delle compromissioni. Malware loader e infostealer rappresentano infatti il punto di ingresso attraverso cui gli attaccanti ottengono il primo accesso ai sistemi delle vittime, distribuiscono payload aggiuntivi e preparano il terreno per successive attività di estorsione, furto di dati o spionaggio.
Colpendo queste infrastrutture, le autorità hanno aumentato significativamente il costo operativo per gli affiliati criminali, rendendo più complesso distribuire malware su larga scala. L’operazione prosegue un percorso già avviato nelle precedenti fasi di Endgame, che avevano interessato altre famiglie malware come DanaBot e Bumblebee, con l’obiettivo di smantellare progressivamente l’intera filiera che alimenta il modello malware-as-a-service. Europol ha coordinato lo scambio operativo di informazioni attraverso la piattaforma SIENA e il supporto dell’European Cybercrime Centre, mentre Eurojust ha garantito il coordinamento giudiziario tra le diverse autorità nazionali coinvolte.
SocGholish sfrutta siti WordPress compromessi per distribuire malware
Tra le principali minacce colpite figura SocGholish, conosciuto anche come FakeUpdates, uno dei loader più utilizzati negli ultimi anni per compromettere sistemi aziendali e domestici. Il malware viene distribuito attraverso migliaia di siti WordPress compromessi, appartenenti a ristoranti, officine, piccole imprese e servizi locali, che mostrano ai visitatori falsi messaggi di aggiornamento del browser. Convinta di installare un aggiornamento di sicurezza, la vittima esegue invece il loader che scarica ulteriori payload, spesso ransomware o strumenti di accesso remoto. Nel corso dell’operazione, le autorità olandesi hanno bonificato 14.971 siti web compromessi, sequestrato domini, interrotto server di comando e controllo e notificato le vittime attraverso piattaforme come Have I Been Pwned, invitando gli amministratori ad aggiornare le credenziali e ad attivare l’autenticazione multifattore. Le attività investigative confermano inoltre i collegamenti tra SocGholish ed il gruppo criminale russo Evil Corp, già noto per campagne malware come Zeus e Dridex e per numerose operazioni di riciclaggio internazionale.
Amadey continua a rappresentare uno dei loader più utilizzati nel malware-as-a-service
Attivo dal 2018, Amadey rimane uno dei loader più diffusi all’interno dell’ecosistema criminale. Commercializzato in modalità malware-as-a-service dall’attore conosciuto come InCrease, il malware viene venduto con un modello economico che prevede un costo di circa 600 dollari per la licenza iniziale e 50 dollari per ogni nuova compilazione del campione.
Una volta installato, Amadey raccoglie informazioni dettagliate sul sistema compromesso, scarica ulteriori payload, abilita connessioni VNC, proxy SOCKS, cattura il contenuto della clipboard, recupera credenziali archiviate e abilita connessioni RDP per consentire il controllo remoto del dispositivo. La diffusione avviene principalmente tramite campagne di phishing, installer di software pirata e altri loader già presenti sul sistema. Le analisi tecniche hanno identificato 53 cluster indipendenti, con il più esteso responsabile del 34% dei campioni osservati e capace di distribuire mediamente 14 payload differenti per ciascuna vittima, inclusi malware come Lumma, Vidar, Stealc, Agent Tesla, AsyncRAT e Rugmi.
Stealc si conferma uno degli infostealer più redditizi del panorama criminale
Tra i malware oggetto dell’operazione figura anche Stealc, infostealer apparso nel 2023 e rapidamente diventato uno degli strumenti preferiti dai gruppi cybercriminali grazie al modello di distribuzione in abbonamento proposto dall’attore noto come plymouth. Il servizio viene commercializzato a circa 300 dollari al mese oppure 1.000 dollari per sei mesi di utilizzo, consentendo agli affiliati di generare un numero illimitato di build durante il periodo di sottoscrizione.
Stealc è progettato per sottrarre credenziali archiviate nei browser Chromium, client di posta elettronica, applicazioni come Discord, Steam, Telegram e FileZilla, oltre a cookie, wallet di criptovalute, estensioni e file selezionati in base a criteri definiti dall’operatore. Oltre alle funzionalità di furto dati, il malware può operare come loader secondario scaricando ulteriori payload sul sistema compromesso. Per evitare di colpire utenti appartenenti ai paesi della CSI, Stealc verifica la lingua del sistema operativo e interrompe automaticamente l’esecuzione se rileva configurazioni riconducibili a Russia, Ucraina, Bielorussia, Kazakistan o Uzbekistan.
L’operazione ha colpito server, domini e infrastrutture di comando e controllo
Le attività di disruption si sono concentrate sulle infrastrutture tecniche utilizzate dai gruppi criminali per gestire le campagne malware. Le autorità, insieme ai partner industriali, hanno sequestrato server di comando e controllo, domini e piattaforme di distribuzione utilizzate da Amadey, Stealc e SocGholish. Microsoft ha identificato oltre 200 domini e indirizzi IP malevoli collegati ai due malware principali, ottenendone la chiusura attraverso provvedimenti giudiziari, sequestri di domini e notifiche ai provider di hosting.
ESET ha contribuito con tre anni di analisi tecniche, fornendo informazioni sulle chiavi di crittografia RC4, sugli identificatori di build, sui cluster indipendenti e sugli indicatori di compromissione utilizzati per individuare circa 50 domini e quasi 200 server C&C ancora attivi. Parallelamente sono state effettuate attività di sinkholing, bonifica dei siti compromessi e notifiche dirette agli amministratori delle infrastrutture coinvolte.
La collaborazione pubblico-privata è stata decisiva per il successo dell’operazione
Uno degli elementi distintivi dell’Operazione Endgame è stata la stretta collaborazione tra istituzioni pubbliche e aziende private specializzate nella sicurezza informatica. Oltre a Europol ed Eurojust, hanno partecipato le forze di polizia dei paesi coinvolti, mentre Microsoft ha guidato numerose iniziative legali contro le infrastrutture di Amadey e Stealc. ESET ha fornito intelligence tecnica dettagliata che ha consentito di identificare cluster decentralizzati e priorità operative. All’operazione hanno inoltre collaborato Bitdefender, BitSight, Proofpoint, IBM X-Force, Infoblox, Shadowserver Foundation, Have I Been Pwned, Spamhaus, Orange Cyberdefense, Lumen e Mitsui Bussan Secure Directions, contribuendo con attività di monitoraggio, threat intelligence, analisi infrastrutturale e supporto alle notifiche delle vittime. Questo modello di cooperazione ha permesso di agire simultaneamente su più livelli dell’ecosistema criminale, riducendo la possibilità che gli operatori riuscissero a ricostruire rapidamente le proprie infrastrutture.
I numeri dell’Operazione Endgame mostrano la portata del blitz internazionale
I risultati ottenuti evidenziano la dimensione dell’intervento coordinato. Complessivamente sono stati interrotti 326 server e 142 domini, recuperate 27 milioni di credenziali sottratte da oltre 385.000 sistemi compromessi e identificati oltre 18.000 computer ancora sotto il controllo delle infrastrutture criminali monitorate da Microsoft. Le analisi hanno inoltre collegato Amadey e Stealc a più di 140.000 sistemi infetti nel solo periodo compreso tra il 1° e il 14 maggio 2026. Parallelamente, le autorità hanno identificato, segnalato e bloccato asset in criptovalute riconducibili alle attività criminali per un valore superiore a 41 milioni di euro, riducendo la capacità finanziaria degli operatori coinvolti e aumentando il costo necessario per ricostruire le infrastrutture compromesse.
Le analisi tecniche confermano l’integrazione tra loader e infostealer
Le indagini hanno evidenziato come Amadey e Stealc operino spesso in maniera complementare all’interno della stessa catena di attacco. Amadey viene generalmente utilizzato per ottenere il primo accesso ai sistemi e distribuire ulteriori componenti, mentre Stealc entra in azione successivamente per sottrarre credenziali, cookie, wallet di criptovalute e altri dati sensibili destinati alla rivendita nei marketplace underground. Entrambi utilizzano protocolli HTTP e sistemi di cifratura RC4 per le comunicazioni con i server di comando e controllo. Le analisi di clustering basate su chiavi RC4, percorsi URL e identificatori di build hanno consentito ai ricercatori di distinguere numerose infrastrutture indipendenti, permettendo alle autorità di pianificare interventi mirati contro i nodi più rilevanti dell’intero ecosistema criminale.
Endgame colpisce il modello economico del cybercrime-as-a-service
L’azione coordinata contro SocGholish, Amadey e Stealc rappresenta un duro colpo all’intero modello economico del cybercrime-as-a-service. Smantellando loader, infostealer e infrastrutture di comando e controllo, le autorità hanno reso più difficile ottenere l’accesso iniziale ai sistemi compromessi, distribuire malware aggiuntivo e monetizzare milioni di credenziali rubate. Sebbene gli attori criminali possano tentare di ricostruire parte delle infrastrutture perse, la rimozione simultanea di centinaia di server, domini e risorse finanziarie aumenta sensibilmente il costo operativo necessario per riprendere le attività. L’Operazione Endgame dimostra come colpire l’intera filiera tecnologica del malware, anziché limitarsi alle singole famiglie ransomware, rappresenti una strategia sempre più efficace per ridurre l’impatto del crimine informatico su scala internazionale.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
