Amadey 和 StealC 恶意软件网络被瓦解，2700 万被盗凭证被追回

一次协调一致的执法行动，与包括 Bitdefender、Bitsight、ESET 和 Microsoft 在内的私营部门公司合作，成功瓦解了支撑 Amadey 和 StealC 的犯罪基础设施。

Europol 在一份声明中表示：“主要共同目标是破坏网络罪犯用于发起勒索软件、金融欺诈和针对关键基础设施攻击的‘装配线’。”

此次进展发生在荷兰、加拿大、德国和美国当局瓦解与 SocGholish 相关的恶意基础设施并清理了近 15,000 个受感染的 WordPress 网站几天后。

作为为期两周的行动的一部分，价值超过 4700 万美元的犯罪来源加密货币资产已被识别、标记并限制使用。此外，多达 2700 万个被盗登录凭证已被追回，并通过拆除 326 台服务器和 142 个域名阻碍了恶意软件分发网络。

Bitdefender 首席安全策略师 Alex Cosoi 在声明中表示：“此次取缔有力地证明了公私部门合作在瓦解大规模支持网络犯罪的基础设施方面所能取得的成就。这也向恶意软件生态系统背后的那些人发出了明确的信息：无论工具多么复杂或网络分布多么广泛，协调一致的国际行动都会找到他们。”

这三种恶意软件家族均以恶意软件即服务（MaaS）模式进行广告宣传，允许客户交付其他载荷或从受感染主机窃取敏感信息。

SocGholish 和 Amadey 充当引入下一阶段恶意软件的加载器，恶意软件主要通过受感染的 WordPress 站点和钓鱼活动分别传播。Amadey 也通过其他加载器如 Emmenhtal 和 SmokeLoader 进行传播。

作为一种基于 C++ 的模块化后门，自 2018 年 10 月以来一直活跃，由名为 InCrease 的威胁行为者宣传。该服务单个许可证价格为 600 美元，每次重建额外收取 50 美元。Amadey 的最新版本是 5.87。部分支持的命令如下：

• 指纹识别机器
• 下载文件、DLL、MSI 或 PowerShell 脚本
• 使用 "cmd.exe" 运行命令
• 截屏
• 生成 SOCKS 代理
• 打开 VNC 或反向代理会话
• 捕获剪贴板内容和凭证
• 启用 RDP

根据 Mitsui Bussan Secure Directions 发布的数据，直到 2022 年 9 月左右，活跃的 Amadey 命令与控制（C2 或 C&C）服务器的每日数量大致在 2 到 18 之间。

这家日本网络安全公司表示：“然而，从 2023 年 1 月到 2023 年 12 月初，这一数字上升到 5 到 30 之间，表明 Amadey 已得到广泛使用。2024 年，经过短暂的休眠期后，每日计数从 17 的峰值逐渐下降，并持续下降至今。”

据悉，通过 Amadey 分发的恶意软件样本数量在 2025 年达到 11,635 的高点，高于 2019 年的 66 个、2020 年的 260 个、2021 年的 1,231 个、2022 年的 3,500 个、2023 年的 8,360 个和 2024 年的 7,619 个。自今年年初以来，已有 1,837 个载荷通过该恶意软件加载器分发。

另一方面，StealC 利用了各种初始访问向量，包括恶意软件加载器（包括 Amadey）和 ClickFix 诱饵，并能够提取敏感信息，如屏幕截图、凭证、会话 cookie、自动填充条目、信用卡数据、浏览历史记录和扩展数据。

该恶意软件于 2023 年 1 月首次出现在野外，由使用化名 "plymouth" 的威胁行为者以每月 300 美元（或六个月 1000 美元）的价格出售。与 Amadey 一样，StealC 一直由其运营者积极维护。截至 2026 年 6 月，窃取器的最新版本是 2.2.1。据报道，感染集中度最高的国家是美国、波兰和意大利。

除了针对 Chromium 浏览器外，该恶意软件还从 Discord、FileZilla、Foxmail、Microsoft Outlook、Steam 和 Telegram 等桌面应用程序以及符合特定命名模式的文件中收集数据。它还充当二级加载器，能够根据外部服务器的命令下载并执行 EXE、MSI 或 PowerShell 载荷。

用 C++ 编写，该窃取器的一个显著特点是能够查询系统的默认语言，如果区域设置匹配俄罗斯、乌克兰、白俄罗斯、哈萨克斯坦或乌兹别克斯坦等国家，则自行终止。Amadey 也具有类似的检查功能，当在俄罗斯、乌克兰或白俄罗斯主机上运行时，跳过某些功能，如凭证窃取和剪贴板窃取。

典型的 info-stealer 到勒索软件攻击链

今年 1 月早些时候，CyberArk 披露了 StealC 运营者基于 Web 的控制面板中的一个跨站脚本（XSS）漏洞，这使得人们能够深入了解 MaaS 操作，包括其一名名为 YouTubeTA 的客户，该客户依赖 Google 的视频共享平台，通过宣传破解版的 Adobe Photoshop 和 Adobe After Effects 来分发窃取器。

IBM X-Force 和 Proofpoint 还指出，在 C2 面板中发现了多个安全漏洞，其中一个是目录遍历漏洞，使得向 StealC C2 服务器上传 Web shell 成为可能。该问题已于 2026 年 2 月由 StealC 开发人员修补，但在此之前可能被附属机构利用来窃取其他附属机构的数据。

ESET 研究人员 Jakub Tomanek 和 Tomáš Procházka 表示：“在这两个生态系统中，附属机构都会收到一个自托管的管理面板，必须部署在他们自己的服务器基础设施上。Amadey 采用按重建付费的模式。附属机构购买许可证，然后每次需要生成新构建时（例如轮换到新的 C&C 服务器时）支付额外费用。”

“StealC 采取了更利于附属机构的方法，在其订阅中提供无限次构建生成。这降低了轮换 C&C 基础设施的运营成本，使附属机构更容易根据需要生成新样本。”

Amadey 生态系统内共有 53 个独特的集群，最大的僵尸网络集群分发了 Lumma Stealer、Vidar Stealer、StealC、Rugmi、PureCrypter、Agent Tesla、Rhadmanthys Stealer、RedLine Stealer、SmokeLoader、XWorm 和 AsyncRAT 等载荷。

Microsoft 透露，Amadey 和 StealC 不仅使用相同的基础设施，而且这两个恶意软件家族在 2026 年 5 月的前两周与全球超过 140,000 台受感染的计算机有关。这家科技巨头表示，它已识别出超过 18,000 台受害计算机，并切断了对这些设备的犯罪控制。

总体而言，这家科技巨头表示标记了 200 个恶意的 Amadey 和 StealC C2 域名和 IP 地址，所有这些都已通过法院命令、域名扣押、注册商通知和提供商通知的组合被关闭。

Bitsight 表示：“加载器和窃取器是商品恶意软件管道的两半。加载器获得第一个立足点并将其出租；窃取器利用该立足点收集凭证、cookie 和钱包，然后在地下论坛（包括 Telegram）上出售。”

最新的努力发生于 2026 年 6 月 15 日至 19 日之间，标志着“Endgame 行动”的最新篇章。它涉及来自比利时、加拿大、丹麦、法国、德国、荷兰、英国和美国的司法当局和执法部门。

Eurojust 表示：“‘Endgame 行动’针对用于感染设备的初始访问恶意软件。网络罪犯使用这种恶意软件作为网关，悄悄渗透受害者的系统并窃取敏感数据。通过打击攻击链的初始阶段，该行动打击了整个‘网络犯罪即服务’生态系统的核心。”