Im Zentrum der jüngsten Operation standen zwei eng miteinander verbundene Malware-Ökosysteme. Wie Microsoft mitteilte, nutzten Amadey und StealC nicht nur dieselbe Infrastruktur, sondern waren in den ersten beiden Wochen des Mai 2026 weltweit mit mehr als 140.000 infizierten Rechnern verknüpft. Der Konzern erklärte zudem, mehr als 18.000 Opferrechner identifiziert und die kriminelle Kontrolle über diese Geräte unterbunden zu haben. Insgesamt markierte Microsoft 200 bösartige Amadey- und StealC-C2-Domains sowie IP-Adressen, die anschließend per Gerichtsbeschluss, Domain-Beschlagnahmungen, Registrierungen und Benachrichtigungen an Provider abgeschaltet wurden.
Europol beschrieb die Aktion als Schlag gegen die technische Grundlage großflächiger Cyberkriminalität. Bitdefender-Sicherheitsstratege Alex Cosoi sprach von einem Beispiel dafür, was die Zusammenarbeit von öffentlichem und privatem Sektor beim Zerschlagen von Infrastruktur ermögliche, die Cyberkriminalität in großem Maßstab trage. An der zwischen dem 15. und 19. Juni 2026 durchgeführten Maßnahme waren laut Eurojust Justiz- und Strafverfolgungsbehörden aus Belgien, Kanada, Dänemark, Frankreich, Deutschland, den Niederlanden, dem Vereinigten Königreich und den USA beteiligt.
Amadey und SocGholish dienen vor allem als Loader für nachgelagerte Schadsoftware. Während SocGholish laut Quelle überwiegend über kompromittierte WordPress-Seiten verbreitet wird, gelangt Amadey primär über Phishing-Kampagnen auf Systeme; zudem wurde es auch über andere Loader wie Emmenhtal und SmokeLoader verteilt. Amadey ist eine modulare Backdoor in C++ und seit Oktober 2018 aktiv. Beworben wird sie von einem Bedrohungsakteur mit dem Namen InCrease. Eine Einzellizenz kostet 600 US-Dollar, für jeden Neuaufbau fallen weitere 50 US-Dollar an. Die aktuelle Version ist 5.87.
Daten von Mitsui Bussan Secure Directions zeigen, dass die Zahl aktiver Amadey-C2-Server bis etwa September 2022 täglich grob zwischen zwei und 18 lag. Von Januar 2023 bis Anfang Dezember 2023 stieg dieser Wert laut dem japanischen Cybersicherheitsunternehmen auf fünf bis 30 pro Tag, was auf eine breite Nutzung hindeute. Im Jahr 2024 sei die tägliche Zahl nach einer kurzen Ruhephase von einem Höchststand von 17 schrittweise zurückgegangen. Die Zahl der über Amadey verteilten Malware-Samples erreichte laut Quelle 2025 mit 11.635 einen Höchstwert, nach 66 im Jahr 2019, 260 im Jahr 2020, 1.231 im Jahr 2021, 3.500 im Jahr 2022, 8.360 im Jahr 2023 und 7.619 im Jahr 2024. Seit Jahresbeginn wurden 1.837 Nutzlasten über den Loader verteilt.
StealC ist dagegen auf Datendiebstahl ausgelegt. Der erstmals im Januar 2023 beobachtete Stealer wurde von einem Akteur mit dem Namen „plymouth“ für 300 US-Dollar pro Monat oder 1.000 US-Dollar für sechs Monate angeboten. Laut Quelle ist die Malware weiterhin aktiv gepflegt worden; mit Stand Juni 2026 ist Version 2.2.1 aktuell. Besonders viele Infektionen wurden in den USA, Polen und Italien gemeldet. Als Erstzugriff dienen unter anderem Loader wie Amadey und ClickFix-Köder.
StealC kann Screenshots, Zugangsdaten, Sitzungs-Cookies, Autofill-Einträge, Kreditkartendaten, Browserverlauf und Erweiterungsdaten ausleiten. Zusätzlich sammelt die Malware Daten aus Desktop-Anwendungen wie Discord, FileZilla, Foxmail, Microsoft Outlook, Steam und Telegram sowie aus Dateien mit bestimmten Namensmustern. Sie fungiert außerdem als zweiter Loader und kann auf Anweisung eines externen Servers EXE-, MSI- oder PowerShell-Nutzlasten herunterladen und ausführen.
ESET-Forscher Jakub Tomanek und Tomáš Procházka beschrieben Unterschiede im Geschäftsmodell: In beiden Ökosystemen erhielten Affiliates ein selbst gehostetes Administrationspanel für die eigene Server-Infrastruktur. Amadey setze auf ein Bezahlmodell pro Neuaufbau, während StealC im Abonnement unbegrenzte Build-Erzeugung erlaube. Im Amadey-Ökosystem identifizierte ESET insgesamt 53 einzigartige Cluster; das größte Botnetz verteilte unter anderem Lumma Stealer, Vidar Stealer, StealC, Rugmi, PureCrypter, Agent Tesla, Rhadmanthys Stealer, RedLine Stealer, SmokeLoader, XWorm und AsyncRAT.
Bitsight fasste die Rollen beider Malware-Typen so zusammen: Loader verschaffen den ersten Zugriff und vermieten ihn weiter, Stealer nutzen diesen Zugang, um Zugangsdaten, Cookies und Wallets zu sammeln, die anschließend in Untergrundforen, einschließlich Telegram, verkauft werden. Eurojust erklärte, Operation Endgame richte sich gegen die Initialzugriffs-Malware, mit der Geräte infiziert werden. Indem die Operation die erste Stufe der Angriffskette bekämpfe, treffe sie das Herz des gesamten „Cybercrime-as-a-Service“-Ökosystems.