In einer beispiellosen internationalen Aktion haben Microsoft und Europol die Infrastruktur der gefährlichen Schadsoftware-Familien StealC und Amadey lahmgelegt. Die Operation Endgame traf am 24. Juni die kriminellen Netzwerke mit voller Wucht.
Hunderte Server vom Netz genommen
Die koordinierte Aktion brachte mehr als 200 schadhafte Domains und IP-Adressen zu Fall. Insgesamt gingen 326 Server und 142 Domains offline. Die Ermittler froren zudem Kryptowährungs-Guthaben in Höhe von rund 41 Millionen Euro ein, die mit den kriminellen Aktivitäten in Verbindung standen.
Besonders brisant: Fast 27 Millionen gestohlene Zugangsdaten konnten sichergestellt werden. Die Sicherheitsbehörden identifizierten rund 385.000 kompromittierte Systeme. Allein Microsoft stellte fest, dass im Mai 2026 mehr als 140.000 Computer aktiv mit diesen Schadsoftware-Familien infiziert waren.
Breites Bündnis gegen Cyberkriminalität
Das Bundeskriminalamt (BKA) war ebenso beteiligt wie die Polizeibehörden aus den Niederlanden und Dänemark. Auf privater Seite unterstützten Sicherheitsfirmen wie ESET, BitSight, IBM X-Force und Proofpoint die Operation.
Microsoft reichte zudem Klage vor dem US-Bezirksgericht in Miami ein – gestützt auf das RICO-Gesetz gegen organisierte Kriminalität. Die KI-gestützte Analyse der Schadsoftware erfolgte unter anderem mit Microsofts Copilot.
Schwachstelle im StealC-System
Die Operation Endgame hat gezeigt: Infostealer wie StealC und Amadey sind das Einfallstor für Ransomware – und 27 Millionen gestohlene Zugangsdaten belegen die Dimension. Dieser Report liefert Ihnen eine konkrete Checkliste mit 5 Sofortmaßnahmen, einen Passwort-Sicherheitsplan und eine Tool-Übersicht zur Erkennung dieser Schadsoftware. Jetzt kostenlosen Sicherheits-Report anfordern
Der Erfolg gegen StealC beruhte auf einem technischen Durchbruch: Analysten von Proofpoint und IBM X-Force entdeckten eine Sicherheitslücke im StealC-Kontrollpanel. Sie bauten einen Emulator, um das gesamte Netzwerk zu kartieren.
StealC agiert seit Anfang 2023 als Malware-as-a-Service (MaaS) – quasi Schadsoftware auf Abruf. Die Programme stehlen Daten aus Browsern, Kryptowallets, Messenger-Apps und Gaming-Plattformen. Eine Ende Mai 2026 veröffentlichte Version zielte gezielt auf gespeicherte Passwörter, E-Mail-Clients und VPN-Konfigurationen.
Amadey: Der Türöffner für Ransomware
Die Schadsoftware Amadey existiert bereits seit 2018. Sie fungiert als Botnetz und Schadsoftware-Lader, der oft auf russischsprachigen Foren gehandelt wird. Ihre Hauptaufgabe: Sie öffnet die Tür für andere Schadsoftware – insbesondere Ransomware.
Die Forscher beobachteten, dass Amadey und StealC zeitweise dieselbe Kontrollinfrastruktur nutzten. Während StealC vor allem in den USA, Polen und Italien aktiv ist, zeigt Amadey starke Aktivität in Indien, der Türkei, Ägypten, Mexiko und Spanien. Verbreitet werden beide Familien meist über getarnte Wege – etwa gefälschte Software-Updates, gecrackte Installer oder spezielle Lader-Programme.
Warum dieser Schlag so wichtig ist
Fast 385.000 kompromittierte Systeme – die Operation Endgame hat die Infrastruktur von StealC und Amadey zerschlagen, doch die nächste Malware-Welle kommt bestimmt. Schützen Sie Ihr Unternehmen jetzt mit einem Schritt-für-Schritt-Plan zur Passwort-Sicherheit und einer Tool-Übersicht zur Früherkennung. Sicherheits-Report jetzt sichern
Die Sicherheitsexperten betonen: Infostealer – also Datendiebstahl-Schadsoftware – sind das Einfallstor für komplexere Angriffe. Wer einmal Zugangsdaten erbeutet hat, kann in Netzwerke eindringen, Daten stehlen oder Ransomware platzieren. Die Operation Endgame unterbricht diese fatale Kette an der Wurzel.
Ob die Hintermänner gefasst werden konnten, dazu schweigen die Behörden noch. Klar ist: Der Schlag sitzt tief – und die kriminellen Netzwerke werden sich neu sortieren müssen.
