✨︎ Resumen (TL;DR):
- Microsoft y Europol desmantelaron la infraestructura de los malware StealC y Amadey.
- El operativo desactivó 326 servidores, incautó 41 millones de euros y recuperó 27 millones de credenciales.
- Microsoft usó Copilot para vincular ambas amenazas en una sola conspiración bajo la ley RICO.
El 24 de junio de 2026, Microsoft, Europol y una coalición global desmantelaron la infraestructura de los malware StealC y Amadey. En un hecho inédito, las autoridades usaron inteligencia artificial para demostrar que ambas herramientas operaban como una sola conspiración criminal, logrando tirar cientos de servidores mediante una sola orden judicial.
El megaoperativo, bautizado como Operation Endgame, también afectó al cargador SocGholish y dejó números contundentes. Las fuerzas del orden desactivaron 326 servidores, bloquearon 142 dominios, recuperaron 27 millones de credenciales robadas de más de 385,000 sistemas e incautaron más de 41 millones de euros (unos 47 millones de dólares) en criptomonedas.
Esta es la primera vez que una orden judicial ataca dos herramientas de cibercrimen a la vez en lugar de perseguirlas por separado. La clave del éxito estuvo en la Unidad de Crímenes Digitales (DCU) de Microsoft, que utilizó el asistente de inteligencia artificial Copilot para analizar el código y demostrar que funcionaban de manera conjunta. Esto permitió aplicar la ley antimafia RICO de Estados Unidos para empaquetar ambas amenazas en una sola demanda civil.
“Cuando se desmantelan al mismo tiempo varias partes de una operación, los ataques se vuelven más difíciles de lanzar, escalar y recuperar. El resultado: menos servicios disponibles, menos oportunidades de lucro para los cibercriminales y más fricción cuando intentan reconstruirse. Ya no basta con ir contra las amenazas una por una. Hay que interrumpir la forma en que se ensamblan los ataques”, declaró Steven Masada, abogado general adjunto de la DCU de Microsoft.
Cómo operaban StealC y Amadey
Estas dos herramientas suelen trabajar en equipo como una cadena de montaje.
StealC es un infostealer que recolecta datos sensibles de navegadores, billeteras de criptomonedas, apps de mensajería, clientes de correo y plataformas de videojuegos como Steam. Este malware se renta bajo el modelo de software como servicio en la dark web.
Amadey es un cargador que se instala primero en un equipo y luego descarga otras amenazas como troyanos, mineros de cripto o ransomware.
Un ataque típico comienza con una descarga fraudulenta en la computadora personal de un empleado. Al infectar el dispositivo, los criminales obtienen accesos a redes corporativas y credenciales de VPN que luego venden en mercados negros. Según Microsoft, los precios de estos paquetes de datos robados varían:
- Registros comunes: entre 10 y 50 dólares en canales de Telegram y la dark web.
- Registros premium (bancarios o corporativos): más de 100 dólares cada uno.
- Mercados rusos: desde apenas 2 dólares por registro.
El papel de Copilot en la investigación
Para mapear y entender la relación de este software malicioso, la DCU de Microsoft desarrolló herramientas personalizadas apoyadas en Copilot.
Los investigadores crearon agentes de prompts para analizar el comportamiento de cada archivo binario. Con esta tecnología, generaron scripts de Python para descifrar el código, identificaron los servidores de mando y control (C2) ocultos y comprobaron cuáles seguían activos en tiempo real.
Esta automatización con IA permitió acelerar un proceso de correlación de datos que normalmente habría tomado meses de trabajo manual a los analistas de ciberseguridad.
El impacto real y los retos pendientes
A pesar del golpe financiero y técnico que involucró a agencias de Canadá, Dinamarca, Alemania, Países Bajos, Reino Unido y Estados Unidos, el operativo no reportó arrestos.
Tanto StealC como Amadey están programados para desactivarse si detectan teclados o sistemas configurados en ruso, ucraniano o bielorruso, lo que los vincula directamente con agrupaciones de la órbita exsoviética. En el mercado de habla hispana, estas amenazas se propagan mediante campañas de falsas actualizaciones o descargas de software pirata.
El desmantelamiento de estos servidores eleva los costos para los atacantes, pero la falta de detenciones deja abierta la posibilidad de que los operadores intenten reconstruir su red bajo nuevas identidades. El precedente legal, sin embargo, redefine las reglas para las futuras operaciones internacionales de ciberdefensa.
