Operation Endgame: Amadey- und StealC-Infrastruktur zerschlagen, 27 Mio. gestohlene Zugangsdaten gesichert

Kurzfazit
Eine koordinierte Strafverfolgungsaktion (Operation Endgame) mit Microsoft, Europol und Sicherheitsfirmen wie Bitdefender, Bitsight und ESET hat die geteilte Infrastruktur der Malware Amadey und StealC zerschlagen. Hunderte C&C-Server wurden gestört und rund 27 Millionen gestohlene Zugangsdaten gesichert. Für betroffene Organisationen heißt das: Exposition prüfen und Passwörter zurücksetzen.
Was ist passiert?
Im Rahmen der Operation Endgame haben Microsoft, Europol und internationale Partner gemeinsam mit Sicherheitsfirmen — genannt werden u. a. Bitdefender, Bitsight, ESET und Microsoft — die geteilte Infrastruktur der Malware-Familien Amadey und StealC zerschlagen. Laut den Quellen wurden Hunderte Command-and-Control-Server gestört und im Zuge der Aktion rund 27 Millionen gestohlene Zugangsdaten gesichert. Beide Malware-Familien sind als Infostealer bzw. Loader bekannt, die Zugangsdaten abgreifen und weitere Schadsoftware nachladen.
Warum ist das relevant?
Ein Takedown ist eine positive Nachricht — er senkt vorübergehend die operative Kapazität der Betreiber. Für Verteidiger ergibt sich daraus aber eine konkrete Aufgabe: Die 27 Millionen gesicherten Zugangsdaten bedeuten, dass viele Organisationen und Nutzer in der Vergangenheit kompromittiert wurden. Gestohlene Credentials werden für Folgeangriffe (Account-Übernahme, Initial Access) weiterverkauft und genutzt; ein Takedown beseitigt diese bereits exfiltrierten Daten nicht. Zudem kehren Akteure nach Takedowns erfahrungsgemäß mit neuer Infrastruktur zurück.
Betroffene Branchen und Technologien
Infostealer wie Amadey und StealC sind breit gestreut und nicht branchenspezifisch. Betroffen sind potenziell alle Organisationen, deren Mitarbeitende oder Kunden Opfer dieser Malware wurden.
Priorisierungssignale
- 27 Mio. gestohlene Zugangsdaten sichergestellt (Hinweis auf breite Vorkompromittierung)
- Infostealer/Loader als Wegbereiter für Folgeangriffe
- Rückkehrrisiko nach Takedowns
Defensive Empfehlungen
- Prüfen, ob eigene Konten/Domains in den über die Operation bereitgestellten bzw. von Partnern (z. B. via Have-I-Been-Pwned-ähnliche Dienste) veröffentlichten Datensätzen auftauchen.
- Passwörter potenziell betroffener Konten zurücksetzen und Multi-Faktor-Authentifizierung durchsetzen.
- Endpunkte auf Amadey-/StealC-Infektionsspuren prüfen und bei Fund eine vollständige Bereinigung sowie Credential-Rotation durchführen.
- Awareness und Detektion gegen Infostealer-Verbreitung (Malvertising, gefälschte Downloads, geknackte Software) stärken.
Quellenhinweise
Grundlage sind übereinstimmende Berichte von The Hacker News, SecurityWeek und BleepingComputer zur Operation Endgame.
Was Security-Teams jetzt prüfen sollten
- 1Prüfen, ob eigene Konten/Domains in den im Zuge der Aktion veröffentlichten Datensätzen auftauchen.
- 2Passwörter potenziell betroffener Konten zurücksetzen und MFA durchsetzen.
- 3Endpunkte auf Amadey-/StealC-Infektionsspuren prüfen; bei Fund vollständig bereinigen und Credentials rotieren.
- 4Detektion und Awareness gegen Infostealer-Verbreitung (Malvertising, gefälschte Downloads) stärken.
- 5Auf Rückkehr der Akteure mit neuer Infrastruktur vorbereitet bleiben (Monitoring).
Quellenhinweise
Transparenz & Redaktion
- Analyse: SecBoard Research
- Redaktionell verantwortlich: Eike Fellgiebel
- KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
- Stand: 28. Juni 2026