En Resumen
- Europol congeló más de $47 millones en criptoactivos tras desmantelar infraestructura de tres familias de malware.
- La policía derribó 326 servidores y recuperó 27 millones de credenciales robadas de 385.000 sistemas comprometidos.
- Microsoft vinculó a Amadey y StealC con más de 140.000 computadoras infectadas y presentó demanda bajo la Ley RICO.
Una ofensiva global contra el malware de "cibercrimen como servicio" que vacía silenciosamente billeteras cripto ha congelado decenas de millones de dólares en fondos robados.
Las fuerzas del orden identificaron, señalaron y congelaron más de €41 millones (aproximadamente $47 millones) en criptoactivos criminales en la última fase de la Operación Endgame, señaló Europol el miércoles. La operación de dos semanas y múltiples países desmanteló la infraestructura detrás de tres familias de malware: SocGholish, Amadey y StealC.
Las tres apuntan a usuarios cripto. StealC, un infostealer vendido como servicio desde 2023, extrae contraseñas, cookies del navegador y datos de billeteras cripto de máquinas infectadas. Su panel de control incluso incluía un plugin que intentaba descifrar las frases semilla de las billeteras MetaMask de las víctimas, según descubrieron investigadores de Proofpoint.
Amadey obtiene el acceso inicial e instala malware adicional, mientras que SocGholish, vinculado al grupo ruso Evil Corp, infecta a las personas mediante falsas solicitudes de actualización del navegador en sitios web hackeados. Juntos forman la primera línea de ataques que terminan en billeteras vaciadas, robo de cuentas y ransomware.
La policía derribó 326 servidores y 142 dominios, recuperó casi 27 millones de credenciales robadas de más de 385.000 sistemas comprometidos y limpió cerca de 15.000 sitios web infectados, muchos de ellos pequeñas empresas. Microsoft, socio en la operación, vinculó a Amadey y StealC con más de 140.000 computadoras infectadas en todo el mundo solo en las dos primeras semanas de mayo.
¿Qué son los infostealers?
Los infostealers se han convertido en una vía principal para el robo de criptomonedas, sustrayendo silenciosamente archivos de billeteras, claves privadas y frases semilla de los dispositivos de las víctimas. Utilizan una variedad de vectores para atacar a usuarios cripto, como herramientas de IA falsas, fondos de pantalla de Steam y mods pirateados de videojuegos.
La escala de exposición es enorme. Una acción previa de la Operación Endgame a finales del año pasado descubrió datos de inicio de sesión de más de 100.000 billeteras cripto, robados de las víctimas pero aún no vaciados.
La Unidad de Delitos Digitales de Microsoft presentó por separado una demanda por crimen organizado en Estados Unidos que, por primera vez, trató a dos familias de malware como una sola conspiración criminal. Utilizando herramientas de IA como Copilot para analizar el malware, los investigadores descubrieron que Amadey y StealC, aunque creados por diferentes criminales, operaban sobre infraestructura compartida, lo que permitió a Microsoft acusar a los facilitadores de ambas operaciones bajo la Ley RICO y desactivar más de 200 servidores de comando y control. Desde entonces ha identificado más de 18.000 computadoras víctimas y comenzó a cortar el control de los atacantes.
.@Microsoft Digital Crimes Unit has taken down five operations in nine months that were enabling Cybercrime as a Service (CaaS).
Cybercrime runs on coordination. Disrupting it takes the same approach, working with partners to break up the systems that make these attacks… pic.twitter.com/b7ZVqdCatY
— Microsoft On the Issues (@MSFTIssues) June 24, 2026
Este tipo de desmantelamientos rara vez eliminan el malware por completo, y los operadores tienden a reagruparse, con StealC lanzando una nueva versión tan recientemente como este mes. Por ahora, Europol y sus socios están canalizando alertas a las víctimas a través de servicios como Have I Been Pwned, para que los usuarios puedan verificar si sus credenciales, y las llaves de sus billeteras, ya están en manos criminales.