ESET Research ha colaborado en la operación internacional que ha permitido desarticular la infraestructura utilizada por la botnet Amadey y el infostealer Stealc, dos amenazas distribuidas bajo el modelo de malware como servicio (MaaS). La operación, coordinada por la Digital Crimes Unit (DCU) de Microsoft, BitSight, Lumen y Mitsui Bussan Secure Directions (MBSD), tuvo como objetivo inutilizar la infraestructura utilizada por los afiliados de ambas amenazas para dificultar sus operaciones cibercriminales.

Paralelamente, el Centro Europeo de Ciberdelincuencia (EC3) de Europol, junto con distintos cuerpos policiales europeos – entre ellos la Oficina Federal de Policía Criminal de Alemania y las policías nacionales de Países Bajos y Dinamarca –, investigó Stealc en el marco de la Operación Endgame, con la colaboración de IBM y Proofpoint.

Los datos de telemetría de ESET muestran que Amadey se distribuyó a escala mundial, sin un foco geográfico concreto. Las mayores tasas de detección se registraron en España, India, Turquía, Egipto y México. En el caso de Stealc, también se observó una distribución global, siendo Estados Unidos, Polonia e Italia los países con un mayor número de detecciones. ESET contribuyó a la operación proporcionando análisis técnico, información estadística, datos sobre los servidores de mando y control (C&C) conocidos, claves de cifrado, identificadores de campañas y compilaciones (builds), así como otra información de inteligencia sobre amenazas recopilada durante años de seguimiento de ambas familias de malware.

“ESET lleva los últimos tres años monitorizando tanto la botnet Amadey como el infostealer Stealc. Para esta operación compartimos estadísticas correspondientes al periodo comprendido entre el cuarto trimestre de 2025 y el primer semestre de 2026, además de indicadores técnicos y datos de configuración extraídos de las muestras de malware analizadas”, explica Jakub Tomanek, investigador de ESET, que colaboró en la operación de desarticulación de Amadey y Stealc. “Nuestros sistemas automatizados han analizado miles de muestras de Amadey y Stealc para identificar los elementos más relevantes para su seguimiento a gran escala. Entre ellos se encuentran los servidores C&C, los identificadores de compilación (builds), las claves de cifrado, las rutas URL, los identificadores de campaña y otros valores incrustados que estas familias de malware utilizan para comunicarse con la infraestructura controlada por los atacantes”, añade.

Compartir análisis técnicos, información estadística e inteligencia sobre amenazas – como listados de servidores C&C, identificadores de afiliados y claves de cifrado – permite a las fuerzas y cuerpos de seguridad identificar, priorizar y actuar con un alto grado de confianza sobre la infraestructura utilizada por los ciberdelincuentes.

Amadey es un loader de malware modular cuyo principal objetivo es distribuir malware adicional en los sistemas comprometidos, aunque también incorpora módulos para la exfiltración de datos y el acceso remoto. Stealc, por su parte, es un infostealer ofrecido como servicio que roba credenciales, cookies, monederos de criptomonedas, extensiones del navegador y archivos que responden a los patrones definidos por sus afiliados.

Ambas familias de malware se comercializan como servicio y se anuncian en foros de la dark web. En ambos casos, los afiliados reciben un panel de administración autoalojado que deben desplegar en su propia infraestructura de servidores. Esto requiere un determinado nivel de conocimientos técnicos por parte de los afiliados y les proporciona control directo tanto sobre los datos robados de las víctimas como sobre la distribución de las cargas maliciosas.

Aunque los métodos de distribución dependen en última instancia de cada afiliado, la telemetría de ESET muestra de forma consistente que ambas familias de malware se propagaban a través de una amplia variedad de canales. Los métodos más habituales incluían falsas actualizaciones de software, instaladores de software pirateado (cracked software) y loaders de terceros.

Amadey seguía un modelo de pago por recompilación (pay-per-rebuild). Los afiliados adquirían una licencia y, posteriormente, abonaban una tarifa adicional cada vez que necesitaban generar una nueva compilación (build), por ejemplo, al cambiar a un nuevo servidor C&C. En otras palabras, los operadores de Amadey no facilitaban una herramienta para crear nuevas muestras, sino que compilaban cada versión bajo demanda para cada afiliado. Además, Amadey ofrecía tres módulos adicionales destinados a ampliar sus capacidades de robo de información y acceso remoto: un módulo de monitorización del portapapeles, otro para el robo de credenciales y un módulo de acceso remoto basado en VNC. El servicio tenía un precio de 600 dólares estadounidenses, pagaderos en bitcoin, por una licencia individual, a los que se sumaban 50 dólares por cada nueva recompilación.

Stealc, por el contrario, adoptó un enfoque más favorable para sus afiliados al permitir la generación ilimitada de nuevas compilaciones dentro de la suscripción. Esto reducía el coste operativo asociado a la rotación de la infraestructura C&C y facilitaba la creación de nuevas muestras cuando fuera necesario. Stealc está diseñado para robar información procedente de un amplio abanico de fuentes, incluidas las credenciales almacenadas en navegadores web, clientes de correo electrónico, clientes FTP, plataformas de videojuegos, archivos de monederos de criptomonedas y extensiones del navegador. Se comercializa mediante un modelo de suscripción, cuyo plan más económico tiene un coste de 1.000 dólares por seis meses.

Con el objetivo de evitar estafas basadas en la suplantación de identidad, los operadores de ambas amenazas indicaban expresamente en los foros de la dark web que los posibles afiliados debían contactar con ellos únicamente a través de sus canales oficiales. En el caso de Amadey, los compradores eran dirigidos a mensajes privados dentro del propio foro donde se anunciaba el servicio, mientras que Stealc utilizaba tanto mensajes privados en foros de la dark web como Telegram.

ESET continuará monitorizando ambas familias de malware y seguirá de cerca cualquier intento de reconstruir su infraestructura operativa tras esta operación de desarticulación.

Para obtener más información sobre la operación de desarticulación de Amadey y Stealc, consulta la publicación de ESET Research “ESET takes part in global operation to disrupt Amadey and Stealc” en WeLiveSecurity.com. Sigue a ESET Research en X, Bluesky y Mastodon para estar al día de las últimas investigaciones y novedades del equipo.