Microsoft et Europol ferment 200 domaines C2 StealC et Amadey
TL;DR
- Microsoft's Copilot reduced malware code analysis from hours or days to minutes, enabling the shared-infrastructure link between StealC and Amadey that grounded the RICO filing.
- Amadey and StealC shared bulletproof-hosting providers ELITETEAM, Chang Way, and Femo IT Solutions, the jurisdictional bridge connecting two separately run criminal operations.
- A directory traversal flaw in StealC's C2 panel let investigators upload web shells and monitor affiliate activity before June 24.
StealC et Amadey ne sont pas des outils isolés : ils représentent deux maillons distincts d'un écosystème de malware-as-a-service où les capacités d'attaque se louent comme des abonnements. D'après le blog sécurité de Microsoft, la Digital Crimes Unit (DCU), en coordination avec Europol et des partenaires industriels, a identifié et fait retirer plus de 200 domaines et adresses IP de commande-et-contrôle liés à ces deux familles, via des ordonnances judiciaires, des saisies de domaines et des notifications aux hébergeurs.
StealC est un infostealer écrit en C++ qui extrait des identifiants depuis les navigateurs Chromium (Chrome, Edge, Brave, Opera, Vivaldi), Firefox, les portefeuilles cryptographiques, les messageries, les clients e-mail et les plateformes de jeux. Ses communications avec les serveurs C2 sont chiffrées en RC4 avec encodage Base64. Le code embarque une date d'expiration qui force l'auto-destruction de l'échantillon une fois celle-ci atteinte, et le malware s'arrête également si le système détecte une locale russe, ukrainienne, biélorusse, kazakhe ou ouzbèke. Amadey, actif depuis au moins 2018, remplit un rôle différent : c'est un chargeur modulaire qui communique par HTTP chiffré en RC4, supporte 29 commandes de backdoor documentées, et vérifie lui aussi la présence de claviers russes, ukrainiens ou biélorusses pour adapter son comportement.
Sur les marchés souterrains, les logs volés se vendent entre 10 et 50 dollars l'unité, les comptes bancaires ou d'entreprise pouvant dépasser 100 dollars. Certains marchés russes proposent des lots à partir de 2 dollars le log. La fenêtre d'exploitation varie considérablement : certaines intrusions surviennent dans les 48 à 72 heures suivant le vol des identifiants, d'autres demeurent latentes pendant des mois.
Pour démanteler cette infrastructure, la DCU a utilisé Copilot pour accélérer l'analyse des binaires malveillants, notamment en créant des agents de prompt pour l'analyse de fonctions, en générant des scripts Python pour le déchiffrement de chaînes de caractères, et en examinant du code désassemblé pour localiser les serveurs C2 codés en dur.
La réserve s'impose sur la durabilité de l'impact : le modèle MaaS est précisément conçu pour absorber ce type de perturbation, et l'article ne précise ni le nombre d'identifiants effectivement neutralisés, ni si des arrestations ont accompagné les saisies d'infrastructure. Ce qui mérite attention, en revanche, c'est que l'intégration de Copilot dans les workflows d'analyse de malwares pourrait réduire significativement le temps de traitement pour les équipes de sécurité disposant déjà de ces outils.
Ce qu'en disent les autres médias
-
The Register Lire →
Copilot analyzed malware code in plain English, cutting analysis from days to minutes and surfacing the shared-infrastructure link that made a single RICO filing against both operations possible.
It's no longer enough to go after threats one by one. We need to interrupt how the attacks are put together.
-
The Hacker News Lire →
Provides affiliate business model contrast, Amadey's pay-per-rebuild vs. StealC's subscription pricing, and documents the longitudinal growth from 66 Amadey samples in 2019 to 11,635 in 2025.
The main common goal was to disrupt the 'assembly lines' cybercriminals use to launch ransomware, financial fraud, and attacks on critical infrastructure.
-
Infosecurity Magazine Lire →
Frames the action from Europol's coordination perspective and positions AI-compressed investigation timelines as a replicable law enforcement model for future MaaS takedowns.
When multiple parts of an operation are disrupted together, attacks are harder to launch, scale and recover from.
-
HackRead Lire →
Adds SocGholish as a third disrupted family and details StealC's secondary payload delivery chain (Vidar, XMRig, AsyncRAT, LockBit) plus the directory traversal flaw that enabled pre-raid C2 access.
-
Help Net Security Lire →
Maps the operational division of labor clearly: Amadey handles device access, StealC handles credential theft, explaining why shared infrastructure made a combined RICO filing legally viable.
Amadey and StealC are often used alongside each other: Amadey helps attackers gain access to devices, while StealC steals passwords and sensitive information.
-
Security Affairs Lire →
Centers the strategic rationale: targeting initial-access loaders rather than ransomware payloads strikes the cybercrime-as-a-service supply chain upstream, where disruption has broader cascade effects.
By fighting the initial stage of the attack chain, the operation strikes at the heart of the entire 'cybercrime-as-a-service' ecosystem.
Shared on Bluesky by 1 AI expert
Article original publié par microsoft.com
Lire l'article original →Titre original : Microsoft utilise Copilot pour démanteler plus de 200 domaines C2 des malwares StealC et Amadey en coordination avec Europol