Die Aktion vom 24. Juni 2026 traf die Schadsoftware-Familien Amadey und StealC mit voller Wucht. Im Rahmen der „Operation Endgame“ gelang es den Ermittlern, die zentrale Infrastruktur der Cyberkriminellen lahmzulegen. Die Server steuerten weltweit infizierte Rechner – insgesamt waren allein in den ersten zwei Maiwochen mehr als 140.000 Computer betroffen.
RICO-Gesetz als scharfes Schwert
Microsoft schlug dabei einen ungewöhnlichen juristischen Weg ein. Der Konzern nutzte den RICO Act – ein US-Gesetz, das eigentlich zur Bekämpfung organisierter Kriminalität entwickelt wurde. Die Klage behandelte die verschiedenen Malware-Familien als einheitliche kriminelle Verschwörung. Das ermöglichte eine gerichtliche Verfügung zur gleichzeitigen Stilllegung beider Netzwerke.
Die Ermittler setzten zudem auf Künstliche Intelligenz: Microsofts Copilot half dabei, das Verhalten der Schadsoftware zu analysieren und Verbindungen zwischen den Gruppen aufzudecken. Die Analyse zeigte, dass die Kriminellen häufig dieselbe Infrastruktur nutzten. Der Amadey-Loader diente oft als Einfallstor, um den StealC-Infostealer auf die gekaperten Systeme zu schleusen.
Millionenbeträge und Tausende befreite Rechner
Angesichts der rasanten Entwicklung von KI-gestützter Schadsoftware und neuen Cyberrisiken müssen Unternehmen ihre Sicherheitsstrategien jetzt dringend anpassen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer heute kennen müssen. Neue KI-Gesetze und Cyberrisiken: Jetzt Gratis-Report sichern
Die Bilanz der Operation kann sich sehen lassen. Die Strafverfolgungsbehörden froren über 41 Millionen Euro in Kryptowährungen ein. Zudem stellten sie rund 27 Millionen gestohlene Zugangsdaten von mehr als 385.000 kompromittierten Systemen sicher. Mindestens 18.000 Rechner wurden durch die Aktion direkt von der Kontrolle der Kriminellen befreit.
Die Malware zielte auf ein breites Spektrum sensibler Daten ab: Browser-Passwörter, Krypto-Wallet-Zugänge, E-Mail-Konten und sogar Gaming-Plattform-Logins standen im Fokus der Angreifer.
Internationale Allianz gegen Cyberkriminalität
Der Erfolg der Operation beruhte auf einer engen Zusammenarbeit zwischen öffentlicher Hand und Privatwirtschaft. Neben dem Bundeskriminalamt (BKA) waren auch die niederländische und dänische Polizei beteiligt. Cybersicherheitsfirmen wie ESET lieferten technische Analysen und Entschlüsselungsschlüssel. Proofpoint und IBM X-Force entdeckten eine Schwachstelle im StealC-Kontrollpanel, die es ermöglichte, einen Malware-Emulator zu entwickeln und das Innenleben des Netzwerks zu studieren.
StealC operiert seit Januar 2023 als „Malware-as-a-Service“-Plattform – Kriminelle mieten die Schadsoftware also gegen Gebühr. Die jüngste Version stammt aus dem Mai 2026. Amadey ist der ältere der beiden Schädlinge und ist seit 2018 als sogenannter Loader aktiv.
Der Fall zeigt eindringlich, wie Cyberkriminelle psychologische Schwachstellen ausnutzen, um Schadsoftware in Unternehmen zu platzieren. Ein neuer Gratis-Report enthüllt die aktuellen Methoden der Angreifer und zeigt Ihnen, wie Sie diese frühzeitig entlarven. Die 7 gefährlichsten psychologischen Schwachstellen jetzt entdecken
Die Ermittlungen trafen auch eine dritte Malware-Familie: SocGholish, die mit organisierten Cyberkriminellen-Gruppen in Verbindung steht. Fast 15.000 kompromittierte Websites konnten bereinigt werden.
Deutschland besonders betroffen
Geografische Auswertungen zeigen: Die USA und Deutschland gehören zu den am stärksten betroffenen Ländern. Hohe Infektionsraten wurden zudem in Indien, der Türkei und Polen registriert. Die Verbreitung erfolgte meist über täuschend echte gefälschte Software-Updates oder geknackte Anwendungen – eine Methode, die selbst erfahrene Nutzer immer wieder in die Falle lockt.
