Contexte de l’opération
Dans le cadre d’une opération coordonnée de takedown, ESET Research a apporté un support technique décisif au démantèlement des infrastructures de deux familles de malwares opérant sous le modèle Malware-as-a-Service (MaaS) : Amadey, un loader modulaire multi-fonctions, et Stealc, un infostealer ciblant une large surface d’attaque. L’opération a été menée conjointement par Microsoft Digital Crimes Unit (DCU), BitSight, Lumen et Mitsui Bussan Secure Directions (MBSD).
En parallèle, l’EC3 d’Europol — avec le BKA allemand, la police néerlandaise et la police danoise — menait ses propres investigations sur Stealc dans le cadre de l’opération Endgame, assisté par IBM et Proofpoint.
Apport technique d’ESET : IoC, clés et télémétrie
L’équipe ESET Research assure le suivi d’Amadey et de Stealc depuis trois ans. Dans le cadre de cette opération, elle a partagé des données couvrant Q4 2025 – S1 2026, comprenant : adresses et configurations de serveurs C&C, clés de chiffrement par build, identifiants de campagne et d’affiliation, chemins d’URL de communication, et statistiques de télémétrie issues de l’analyse à grande échelle de milliers d’échantillons.
Jakub Tomanek, chercheur chez ESET, précise : « Nos systèmes automatisés ont permis d’identifier les artefacts les plus pertinents pour le suivi à grande échelle : infrastructures C&C, identifiants de build, clés de chiffrement, chemins d’URL et autres paramètres de configuration utilisés par les attaquants. » Ce niveau de granularité permet aux forces de l’ordre de cibler les infrastructures avec un haut taux de confiance et de minimiser les faux positifs lors des saisies.
Analyse des modèles MaaS : Amadey vs Stealc
Les deux plateformes reposent sur une architecture MaaS à panneau d’administration auto-hébergé, laissant aux affiliés la maîtrise de leur infrastructure C&C. Amadey fonctionne sur un modèle à la demande : licence initiale à 600 USD en BTC, avec facturation de 50 USD par rebuild (notamment lors d’un changement de C&C). Il intègre des modules optionnels : clipboard monitor, credential stealer et accès VNC. Stealc adopte un modèle d’abonnement à partir de 1 000 USD pour 6 mois, incluant un nombre illimité de rebuilds — facilitant la rotation d’infrastructure et la furtivité opérationnelle.
Les vecteurs d’infection observés par ESET incluent principalement : fausses mises à jour logicielles, installateurs crackés et loaders tiers. Stealc cible navigateurs, clients mail, clients FTP, plateformes de gaming, wallets crypto et extensions de navigateur. Amadey se distingue par ses capacités de déploiement de payloads et d’accès distant via VNC.
Répartition géographique et couverture télémétrique
La télémétrie ESET confirme une diffusion mondiale sans clustering géographique dominant. Amadey présente ses pics de détection en Inde, Turquie, Égypte, Mexique et Espagne. Stealc se concentre davantage sur les États-Unis, la Pologne et l’Italie. Cette dispersion est cohérente avec le modèle MaaS décentralisé : chaque affilié opère indépendamment, sans coordination géographique centrale.
Continuité de la surveillance post-opération
ESET poursuit le monitoring actif des deux familles pour détecter toute tentative de reconstitution d’infrastructure. Cette opération illustre la valeur opérationnelle du threat intelligence structuré et de la coopération public-privé dans les actions de takedown de grande ampleur.
