Operation Endgame richtet sich nach Angaben von Europol gezielt gegen kriminelle Infrastruktur, die Angreifer für den initialen Zugriff auf Systeme, den Diebstahl von Zugangsdaten und letztlich für Ransomware oder Finanzbetrug nutzen. An der aktuellen Aktion waren Strafverfolgungsbehörden aus Kanada, Dänemark, Deutschland, den Niederlanden, dem Vereinigten Königreich und den Vereinigten Staaten beteiligt; Europol und Eurojust koordinierten die Maßnahme.
Unterstützung kam auch aus der Privatwirtschaft. Genannt werden Microsoft, ESET, Proofpoint, IBM X-Force, Bitsight, Infoblox, Orange Cyberdefense, Shadowserver, Have I Been Pwned, Spamhaus und weitere Partner. Laut Europol wurden durch das gleichzeitige Vorgehen gegen mehrere Werkzeuge die Hürden für Cyberkriminelle erhöht, wodurch Angriffe schwerer erfolgreich, verbreitet oder nach einer Störung wiederhergestellt werden könnten.
Amadey und StealC werden laut Quelle als Malware-as-a-Service an Cyberkriminelle verkauft. Affiliates zahlen dabei für Zugriff auf Malware-Builder, Verwaltungsoberflächen, Support und die zugehörige Infrastruktur. Kriminelle nutzen Amadey, um zunächst auf Geräten Fuß zu fassen und anschließend weitere Schadsoftware nachzuladen. StealC dient dem Diebstahl von Zugangsdaten, Krypto-Wallets und anderen sensiblen Informationen, die später verkauft oder bei Ransomware-Angriffen verwendet werden können.
Europol zufolge wird Amadey sowohl von Ransomware-Gruppen als auch von staatlich unterstützten Hackergruppen eingesetzt, um in Netzwerke einzudringen. StealC wurde zuletzt breit in verschiedenen ClickFix-Angriffen verwendet, darunter gefälschte Anleitungsvideos auf TikTok und FileFix-Angriffe. Ebenfalls im Visier stand SocGholish beziehungsweise FakeUpdates, ein Loader, der Nutzer über kompromittierte Websites mit gefälschten Browser-Updates infiziert.
Microsoft beschreibt die eigenen Maßnahmen in einer zivilrechtlichen Klage in den USA. Die Digital Crimes Unit des Unternehmens erklärte, mehr als 200 bösartige Command-and-Control-Domains und IP-Adressen im Zusammenhang mit Amadey und StealC identifiziert zu haben. Gemeinsam mit Partnern habe Microsoft die Infrastruktur per Gerichtsbeschluss, Domain-Beschlagnahmen, Registrierungen und Benachrichtigungen an Provider abschalten lassen.
Nach Angaben aus Microsofts Klageschrift werden mit StealC erbeutete Zugangsdaten häufig in Untergrundmarktplätzen und über Initial-Access-Broker verkauft. Andere Akteure nutzen diese Zugangsdaten anschließend, um in Netzwerke einzudringen, Daten zu stehlen und Ransomware auszurollen. Microsoft zufolge standen die beiden Malware-Familien allein in den ersten beiden Maiwochen 2026 mit mehr als 140.000 infizierten Geräten in Verbindung.
Auch andere private Partner veröffentlichten Angaben zu ihrem Beitrag. ESET erklärte, bei der Identifizierung und Störung der von beiden Malware-Familien genutzten Infrastruktur geholfen zu haben. Nach Unternehmensangaben betraf die Aktion rund 50 von den Operationen genutzte Domains und fast 200 aktive Command-and-Control-Server. Proofpoint und IBM X-Force lieferten demnach ebenfalls Erkenntnisse und Malware-Analysen, die die Störung unterstützten. Bitsight teilte mit, bei der Identifizierung und Analyse der zu beiden Malware-Familien gehörenden Infrastruktur geholfen zu haben, um Server und zugehörige Command-and-Control-Strukturen der Täter zu kartieren.
Es ist die jüngste Phase von Operation Endgame. Frühere Maßnahmen störten bereits andere Malware-Familien wie DanaBot, Bumblebee, Rhadamanthys, VenomRAT, Elysium und SmokeLoader.