Amadey and StealC Malware Network Disrupted, 27M Stolen Credentials Recovered

1 minute de lecture

Mis à jour : June 24, 2026

Démantèlement des réseaux malveillants Amadey et StealC

Une opération internationale coordonnée, impliquant Europol, Eurojust et des géants de la cybersécurité (Bitdefender, ESET, Microsoft, etc.), a permis de neutraliser les infrastructures des logiciels malveillants « Malware-as-a-Service » (MaaS) Amadey et StealC.

Points clés :

Résultats : Saisie de 326 serveurs et 142 domaines, récupération de 27 millions d’identifiants volés et gel de 47 millions de dollars en actifs cryptographiques.
Fonctionnement : Amadey (loader) et StealC (infostealer) forment une chaîne d’attaque où le premier installe le second. Ils servent de passerelles pour des menaces plus graves comme les ransomwares.
Écosystème : Ces outils étaient loués sous forme d’abonnement. Amadey facturait par génération de build, tandis que StealC offrait une génération illimitée, facilitant la rotation rapide des serveurs de commande et contrôle (C2).
Cibles : Les deux malwares intégraient des mécanismes d’auto-protection, s’auto-terminant s’ils détectaient des systèmes configurés en russe, ukrainien, biélorusse, kazakh ou ouzbek.

Vulnérabilités identifiées dans les panneaux de contrôle :

Cross-Site Scripting (XSS) : Permettait d’espionner les opérations des cybercriminels et d’identifier leurs clients (ex: campagne de distribution via YouTube).
Directory Traversal : Vulnérabilité critique ayant permis à certains affiliés d’injecter des web shells sur les serveurs C2 des autres attaquants pour dérober leurs données volées.

Recommandations :

Mise à jour et vigilance : Maintenir les logiciels, navigateurs et systèmes d’exploitation à jour pour limiter les vecteurs d’entrée.
Authentification forte : Étant donné le volume massif d’identifiants volés (27 millions), l’utilisation généralisée de l’authentification multifacteur (MFA) est impérative pour protéger les comptes compromis.
Surveillance des terminaux : Utiliser des solutions EDR (Endpoint Detection and Response) capables de détecter les comportements suspects typiques des loaders (exécution de scripts PowerShell, tentatives de connexion RDP inhabituelles, injection de DLL).
Filtrage DNS/Web : Bloquer les domaines associés aux infrastructures de C2 connues et surveiller les communications sortantes vers des serveurs inconnus.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Amadey and StealC Malware Network Disrupted, 27M Stolen Credentials Recovered

Démantèlement des réseaux malveillants Amadey et StealC

Partager sur

Vous pourriez aimer

Windows 11 KB5095093 update rolls out new Point-in-Time restore feature

Déploiement de la mise à jour Windows 11 KB5095093 : Nouvelles fonctionnalités et correctifs

Weekly Update 509

Analyse de l’actualité cyber : Weekly Update 509

Tata Electronics confirms cyberattack as hackers leak data

Cyberattaque contre Tata Electronics : fuite de données sensibles

StrikeShark: investigating a new campaign delivering Cobalt Strike through SharkLoader

Analyse de la campagne StrikeShark : Déploiement de Cobalt Strike via SharkLoader