**Desmantelamiento global de Amadey y Stealc: análisis técnico y lecciones para la defensa empresarial**
—
### 1. Introducción
En una operación internacional coordinada durante 2024, los investigadores de ESET han desempeñado un papel clave en el desmantelamiento de dos de las amenazas más persistentes del cibercrimen actual: el botnet Amadey y el infostealer Stealc. Esta colaboración, que ha implicado a equipos técnicos, cuerpos policiales y entidades judiciales de varios países, marca un hito en la lucha contra la ciberdelincuencia organizada, especialmente en lo relativo al robo de credenciales y la diseminación de malware mediante modelos de afiliados.
—
### 2. Contexto del Incidente o Vulnerabilidad
Amadey, detectado inicialmente en 2018, es un botnet modular utilizado principalmente como dropper y herramienta de reconocimiento en campañas de malware. Ha sido ampliamente empleado por operadores de ransomware y grupos de cibercrimen para propagar cargas como SmokeLoader, RedLine o Qbot, así como para distribuir payloads personalizados según la campaña.
Por su parte, Stealc surgió en 2023 como uno de los infostealers más avanzados del mercado clandestino, compitiendo con Vidar, Raccoon y RedLine. Stealc destaca por su facilidad de personalización y un modelo de distribución basado en afiliados, permitiendo a múltiples actores utilizar la plataforma para campañas específicas, facilitando así la propagación masiva y el robo de datos confidenciales.
Ambos actores han estado presentes en ataques dirigidos a múltiples sectores, incluyendo banca, retail, administración pública y la cadena de suministro, con especial énfasis en la explotación de credenciales, información financiera y datos almacenados en navegadores.
—
### 3. Detalles Técnicos
**CVE y vectores de ataque**
Aunque ni Amadey ni Stealc explotan vulnerabilidades específicas (CVE) para su propagación, ambos aprovechan campañas de phishing, descargas de software crackeado y kits de exploits en sitios comprometidos (Drive-by Download). Stealc, además, ha sido observado en campañas de malvertising y distribución a través de foros underground y marketplaces.
**TTP según MITRE ATT&CK**
– **Amadey:**
– T1059 (Command and Scripting Interpreter)
– T1105 (Ingress Tool Transfer)
– T1566 (Phishing)
– T1106 (Native API)
– **Stealc:**
– T1005 (Data from Local System)
– T1113 (Screen Capture)
– T1555 (Credentials from Password Stores)
– T1027 (Obfuscated Files or Information)
**Indicadores de compromiso (IoC) y rastreo de infraestructura**
ESET ha documentado numerosos IoC, incluyendo direcciones IP de C2, hashes de ejecutables y rutas de tráfico DNS utilizados por ambos malware. Durante la operación, se rastrearon más de 120 servidores de comando y control (C2) vinculados a Amadey y 80 asociados con Stealc, localizados principalmente en Rusia, Ucrania y Europa del Este.
**Herramientas y frameworks**
Se han identificado variantes de ambos malware ofuscadas mediante packers comerciales y herramientas como Themida. Los actores han empleado frameworks como Metasploit para la explotación inicial y Cobalt Strike para el movimiento lateral en redes comprometidas.
—
### 4. Impacto y Riesgos
El impacto de Amadey y Stealc es significativo:
– **Aproximadamente 500.000 sistemas afectados** en los últimos 12 meses, según estimaciones de ESET y Europol.
– Robo de credenciales corporativas y personales, cookies de sesión, wallets de criptomonedas y archivos sensibles.
– Pérdidas económicas directas superiores a 15 millones de euros, además de daños reputacionales y costes legales derivados del incumplimiento de normativas como el GDPR y la Directiva NIS2.
– Riesgo elevado de ataques encadenados, como ransomware y fraudes financieros, dada la reutilización de credenciales y la venta de accesos en foros clandestinos.
—
### 5. Medidas de Mitigación y Recomendaciones
– **Revisión y actualización de políticas de correo electrónico** para mitigar el phishing.
– **Bloqueo de IoC** asociados (IPs, dominios, hashes) en firewalls, proxies y EDR.
– **Implementación de MFA** (autenticación multifactor) en todos los accesos corporativos.
– **Actualización de software y aplicación de parches** para reducir la superficie de ataque.
– **Monitorización activa** de logs en SIEM y correlación de eventos sospechosos.
– **Concienciación y formación** continua a usuarios para evitar la ejecución de adjuntos o enlaces desconocidos.
—
### 6. Opinión de Expertos
David Harley, Senior Research Fellow de ESET, destaca: “Este golpe coordinado demuestra la importancia de la cooperación internacional y del análisis técnico en profundidad. El modelo de afiliados de Stealc es un ejemplo de cómo la economía del cibercrimen evoluciona constantemente. Los equipos de defensa deben anticipar y adaptarse a estas tácticas cada vez más industrializadas”.
Por su parte, fuentes de Europol subrayan la necesidad de seguir trabajando en el intercambio de inteligencia y la persecución judicial basada en pruebas forenses digitales sólidas.
—
### 7. Implicaciones para Empresas y Usuarios
El desmantelamiento de Amadey y Stealc es un avance, pero no supone el final de este tipo de amenazas. Los cibercriminales tienden a migrar rápidamente a nuevas infraestructuras y variantes. Las empresas deben reforzar su postura defensiva y revisar sus planes de respuesta ante incidentes.
En el contexto de la NIS2, los operadores de servicios esenciales y proveedores digitales europeos pueden enfrentarse a sanciones si no demuestran medidas proactivas de protección y notificación de brechas. La gestión de credenciales, la segmentación de redes y la monitorización continua son, más que nunca, elementos críticos.
—
### 8. Conclusiones
La operación internacional contra Amadey y Stealc refleja la sofisticación y resiliencia de las redes de malware modernas, así como la necesidad imperiosa de colaboración entre sector público y privado. Para los profesionales de la ciberseguridad, la principal lección es la importancia del threat hunting proactivo, la inteligencia sobre amenazas y la capacitación continua frente a un entorno en permanente evolución.
(Fuente: www.welivesecurity.com)