TL;DR:

• Microsoft, Europol y socios internacionales desmantelaron la infraestructura de Amadey y StealC dentro de Operation Endgame, una acción que también golpeó a SocGholish.
• El operativo tumbó 326 servidores y 142 dominios, incautó más de 41 millones de euros en cripto y recuperó unas 27 millones de credenciales robadas de más de 385,000 sistemas.
• Es la primera vez que una orden judicial ataca dos herramientas de cibercrimen a la vez; Microsoft usó su IA Copilot para vincularlas como una sola conspiración bajo la ley RICO.

Microsoft, Europol y una coalición de socios internacionales desmantelaron el 24 de junio de 2026 la infraestructura detrás de dos de las piezas más usadas del cibercrimen moderno: el infostealer StealC y el cargador Amadey. La acción forma parte de Operation Endgame y trae un giro inédito: por primera vez, una orden judicial fue tras dos herramientas criminales al mismo tiempo, no una por una. La clave estuvo en la inteligencia artificial. Microsoft afirma que su producto Copilot le permitió tratar a ambas familias de malware como parte de una sola conspiración criminal, lo que abrió la puerta a una única demanda civil bajo la ley antimafia RICO. El operativo derribó 326 servidores y 142 dominios.

Ir tras dos herramientas a la vez cambia el juego

Hasta ahora, los grandes operativos de desarticulación apuntaban a un malware por acción judicial. Esta vez fue distinto. StealC y Amadey suelen usarse en tándem y se apoyan en la misma infraestructura, así que las autoridades los trataron como un solo engranaje. El argumento legal se sostuvo en la ley RICO —la misma que en Estados Unidos sirve para perseguir al crimen organizado—, que permitió empaquetar a ambas familias dentro de una única conspiración.

Steven Masada, abogado general adjunto de la Unidad de Crímenes Digitales (DCU) de Microsoft, lo resumió así:

"Cuando se desmantelan al mismo tiempo varias partes de una operación, los ataques se vuelven más difíciles de lanzar, escalar y recuperar. El resultado: menos servicios disponibles, menos oportunidades de lucro para los cibercriminales y más fricción cuando intentan reconstruirse. Ya no basta con ir contra las amenazas una por una. Hay que interrumpir la forma en que se ensamblan los ataques."

Detrás de esa idea está la estructura de línea de ensamblaje del cibercrimen actual: aunque los operadores de cada herramienta nunca se coordinen entre sí, sus productos están diseñados para encajar. Romper esa cadena en varios puntos a la vez encarece la reconstrucción.

Qué son StealC y Amadey (y por qué deberían importarte)

StealC es un infostealer —un programa que roba información— escrito en C++ y aparecido en 2023. Una vez dentro de un equipo, recolecta datos sensibles de navegadores, billeteras de criptomonedas, apps de mensajería, clientes de correo y plataformas de videojuegos como Steam. Se renta como malware-as-a-service (MaaS): el criminal paga por un generador de muestras y un panel web para administrar el botín.

Amadey es un cargador (loader) activo desde al menos 2018. Su trabajo es abrir la puerta: se instala primero y luego descarga otras amenazas, entre ellas el propio StealC, troyanos de acceso remoto, mineros de cripto y, en algunos casos, ransomware.

El peligro real no está en una sola contraseña. Una infección en la computadora personal de un empleado puede terminar entregando credenciales de VPN corporativa, tokens de inicio de sesión único (SSO) y cookies de sesión capaces de saltarse la autenticación multifactor. Microsoft lo dice sin rodeos: el problema casi siempre nace fuera de las redes vigiladas, y la empresa se entera cuando el atacante ya actuó.

Una vez fuera, esos datos se venden rápido. Los precios de los registros (logs) con credenciales dan una idea del negocio:

• Logs comunes: entre 10 y 50 dólares por registro en mercados de la dark web y canales de Telegram.
• Logs premium (con accesos bancarios o corporativos): más de 100 dólares cada uno.
• Mercados rusos: desde apenas 2 dólares por registro, según análisis citado por Microsoft.

De ahí pasan a los intermediarios de acceso inicial (IAB), que los prueban y los revenden a quien quiera entrar a una red ajena.

El papel de la IA: Copilot como lupa forense

Aquí está el ingrediente que distingue a este caso. Para mapear y entender el malware, la DCU no se limitó a las herramientas tradicionales: construyó utilidades a la medida apoyándose en Copilot. Según Microsoft, el equipo:

• Creó un agente de prompts para analizar a fondo las funciones de cada binario.
• Usó prompt engineering para generar un script de Python que descifra cadenas y extrae los parámetros de configuración del malware.
• Recurrió a Copilot para revisar el código desensamblado e identificar los servidores de mando y control (C2) incrustados en los binarios.
• Escribió software, también con ayuda de Copilot, para confirmar qué servidores C2 seguían activos.

El resultado, dice la compañía, fue una capacidad de recolección y correlación de datos que ninguna firma lograría sola. La IA no reemplazó a los investigadores; les permitió ver conexiones que de otro modo habrían pasado desapercibidas, y a otra velocidad.

Los números detrás de Operation Endgame

Las cifras del operativo completo las puso Europol, e incluyen también el golpe paralelo a SocGholish (FakeUpdates), otro cargador que infecta a través de falsas actualizaciones de navegador. En total:

• 326 servidores y 142 dominios desmantelados, bloqueados o redirigidos (sinkholing).
• Más de 41 millones de euros (unos 47 millones de dólares) en criptomonedas vinculadas a actividad criminal.
• Cerca de 27 millones de credenciales robadas, recuperadas de más de 385,000 sistemas comprometidos.

La parte que le tocó a Microsoft fue específica de StealC y Amadey: identificó más de 200 dominios e IPs de mando y control y los tumbó mediante órdenes judiciales, incautación y registro de dominios, y avisos a proveedores. Solo en las primeras semanas de mayo de 2026, según la compañía, ambas familias estaban detrás de más de 140,000 dispositivos infectados en el mundo.

No fue trabajo de una sola firma. Del lado policial participaron agencias de Canadá, Dinamarca, Alemania, Países Bajos, Reino Unido y Estados Unidos, con Europol y Eurojust coordinando. Del lado privado, además de Microsoft, sumaron ESET, Proofpoint, IBM X-Force, Bitsight, Infoblox, Orange Cyberdefense, Shadowserver, Have I Been Pwned y Spamhaus, entre otros. ESET, por su cuenta, reportó haber afectado unos 50 dominios y cerca de 200 servidores C2 activos.

Sin arrestos, la historia suele repetirse

Hay una advertencia que conviene no perder de vista. Operación tras operación, cuando no hay detenciones, los operadores reconstruyen su infraestructura y vuelven al ruedo: ya pasó con DanaBot y con Bumblebee, ambos golpeados antes por esta misma Operation Endgame. Esta acción, hasta el momento, no reportó arrestos.

Otro detalle dice mucho sobre quién está detrás. Tanto StealC como Amadey revisan el idioma y la distribución del teclado del equipo, y se autodesactivan si detectan sistemas rusos, ucranianos, bielorrusos y de otros países de la órbita ex soviética. Ambos se asocian a grupos vinculados a Rusia, y Amadey ya se usó en ataques contra Ucrania.

Para el lector de habla hispana, la lectura es directa: estos programas no hacen esa excepción con nosotros. StealC se ha colado de forma masiva en ataques de ingeniería social tipo ClickFix —videos falsos con "instrucciones" en TikTok, descargas de software pirata, supuestos parches— que no entienden de fronteras. La cadena que arranca con una descarga inocente en una laptop personal puede terminar en el robo de una empresa entera.

El precedente es lo más interesante de todo. Tratar dos herramientas como una sola conspiración, con la IA ayudando a unir las piezas, le da a la industria y a la policía un molde nuevo para futuros operativos. La otra cara es conocida: los cibercriminales también ajustan su manual. La pelea, otra vez, se mide en fricción.

Fuentes: 1, 2, 3