Operación internacional desmantela infraestructura de Amadey y StealC y recupera 27 millones de credenciales comprometidas

Una operación internacional coordinada contra el cibercrimen logró desmantelar una parte significativa de la infraestructura utilizada por las familias de malware Amadey y StealC, dos de las amenazas más utilizadas por actores maliciosos para el robo de información y la distribución de cargas maliciosas adicionales.

La operación se centró en interrumpir las cadenas de suministro criminales que facilitan campañas de ransomware, fraude financiero y ataques dirigidos contra organizaciones públicas y privadas, afectando directamente el modelo de negocio de diversos grupos de ciberdelincuencia.

Como resultado de las acciones ejecutadas entre el 15 y el 19 de junio de 2026, las autoridades lograron:

• Recuperar aproximadamente 27 millones de credenciales robadas.
• Identificar y restringir el uso de más de 47 millones de dólares en activos de origen ilícito.
• Desmantelar 326 servidores utilizados para actividades maliciosas.
• Neutralizar 142 dominios empleados para la operación y administración de la infraestructura criminal.

Amadey: un cargador de malware con años de actividad

Activo desde 2018, Amadey se ha consolidado como uno de los loaders más utilizados dentro del ecosistema de malware como servicio (MaaS). Su función principal consiste en comprometer equipos y posteriormente descargar o ejecutar otras amenazas, convirtiéndose en una puerta de entrada para campañas de robo de información, acceso inicial y despliegue de malware adicional.

Entre sus capacidades destacan:

• Identificación y perfilado del sistema comprometido.
• Descarga y ejecución de archivos, bibliotecas DLL y scripts de PowerShell.
• Ejecución remota de comandos.
• Captura de pantalla del equipo infectado.
• Habilitación de acceso remoto mediante VNC y proxies SOCKS.
• Robo de credenciales y contenido del portapapeles.
• Activación de servicios de escritorio remoto (RDP).

Durante los últimos años, la actividad de Amadey experimentó un crecimiento considerable, alcanzando miles de nuevas muestras distribuidas anualmente y consolidándose como una herramienta recurrente en operaciones de ciberdelincuencia.

StealC: un infostealer diseñado para el robo masivo de datos

Por su parte, StealC es un malware especializado en el robo de información sensible y uno de los infostealers más activos del panorama actual.

Desde su aparición en 2023, la amenaza ha evolucionado constantemente incorporando nuevas capacidades de extracción de datos, incluyendo:

• Credenciales almacenadas en navegadores.
• Cookies de sesión.
• Datos de autocompletado.
• Información de tarjetas de pago.
• Historial de navegación.
• Capturas de pantalla.
• Información de aplicaciones de mensajería y correo electrónico.
• Datos de clientes FTP y plataformas de videojuegos.

Además, StealC posee funcionalidades de segunda etapa que le permiten descargar y ejecutar cargas maliciosas adicionales, facilitando el despliegue de otras familias de malware y ampliando el impacto de la infección inicial.

Más de 140 mil dispositivos comprometidos

Las investigaciones revelaron que ambas familias de malware compartían parte de su infraestructura operativa y que, durante las primeras semanas de mayo de 2026, se encontraban vinculadas a más de 140.000 dispositivos infectados en todo el mundo.

Asimismo, se logró identificar y cortar el control criminal sobre más de 18.000 equipos comprometidos, reduciendo significativamente la capacidad operativa de los actores involucrados.

Un modelo criminal basado en la especialización

El caso de Amadey y StealC evidencia la madurez alcanzada por el modelo de Cybercrime-as-a-Service (CaaS), donde distintos grupos criminales se especializan en etapas específicas de la cadena de ataque.

En este modelo:

1. Los loaders obtienen el acceso inicial a las víctimas.
2. Los infostealers extraen información valiosa.
3. Las credenciales y datos robados son comercializados en mercados clandestinos.
4. Otros actores utilizan dicha información para ejecutar fraudes, comprometer cuentas corporativas o desplegar ransomware.

Esta especialización ha permitido que las campañas maliciosas se ejecuten a gran escala y con un bajo costo de entrada para nuevos actores de amenazas.

La importancia de atacar las etapas iniciales de la intrusión

La interrupción de la infraestructura de Amadey y StealC representa un golpe significativo contra el ecosistema del cibercrimen, ya que las operaciones se enfocaron en las primeras fases de la cadena de ataque: la infección inicial y el robo de credenciales.

Al neutralizar estas capacidades, se dificulta la ejecución de actividades posteriores como el fraude financiero, el espionaje, la extorsión mediante ransomware y la venta de accesos comprometidos en foros clandestinos.

Recomendaciones para las organizaciones

Ante el incremento de campañas basadas en loaders e infostealers, las organizaciones deberían fortalecer sus controles de seguridad mediante:

• Implementación de autenticación multifactor (MFA).
• Monitoreo continuo de credenciales expuestas.
• Restricción de la ejecución de scripts y herramientas no autorizadas.
• Capacitación frente a campañas de phishing e ingeniería social.
• Implementación de capacidades de detección basadas en comportamiento.
• Monitoreo de indicadores de compromiso asociados a malware de robo de información.

La operación demuestra que las amenazas de robo de credenciales continúan siendo uno de los principales habilitadores de incidentes de ransomware y fraude, por lo que la protección de identidades y la detección temprana de infecciones deben mantenerse como una prioridad estratégica para las organizaciones.