Microsoft e il cybercrime tornano al centro della sicurezza informatica con una nuova azione legale contro Amadey e StealC: i due strumenti vengono usati nella filiera criminale per accesso iniziale, furto di dati, ransomware e frodi. Inoltre, l’operazione ha portato al blocco di infrastrutture chiave, con il supporto di Europol e partner del settore. L’Italia risulta tra i Paesi coinvolti, al 14esimo posto globale per vittime di StealC.

Microsoft cybercrime: nuova azione contro due tool criminali

Microsoft ha annunciato una nuova azione legale contro Amadey e StealC, due strumenti molto usati dai cybercriminali. L’obiettivo non è colpire un singolo attacco, ma interrompere una parte più ampia della catena operativa del cybercrime.

Amadey viene usato come loader, quindi come strumento per distribuire altri malware sui dispositivi compromessi. StealC, invece, è un infostealer pensato per rubare dati sensibili, credenziali, cookie, token di sessione e informazioni da browser, wallet crypto, app di messaggistica, client email e piattaforme gaming.

Insieme, questi due strumenti possono trasformare una semplice infezione in un rischio più grande. Infatti, una credenziale rubata su un dispositivo personale può aprire la strada ad accessi aziendali, frodi, ransomware o ulteriori compromissioni.

Secondo Microsoft, Amadey e StealC sono stati collegati a oltre 140.000 computer infetti nel mondo nelle prime due settimane di maggio. Inoltre, l’azienda ha identificato oltre 18.000 dispositivi vittima dall’avvio dell’operazione.

Microsoft cybercrime: si punta alla supply chain degli attacchi

La parte più interessante dell’azione riguarda il metodo. Microsoft non lavora solo contro i singoli malware, ma contro la supply chain che permette agli attacchi di funzionare.

Il cybercrime moderno usa strumenti modulari: un servizio entra nel dispositivo, un altro ruba credenziali, un altro vende accessi e altri ancora sfruttano quei dati per ransomware, frodi o spionaggio. Di conseguenza, colpire un solo elemento spesso non basta.

Microsoft ha scelto di intervenire su più componenti dello stesso ecosistema, trattando Amadey e StealC come parti collegate di una stessa catena. Questo rende più difficile per i gruppi criminali ripartire subito dopo il blocco di una singola infrastruttura.

Inoltre, l’azione ha portato alla disruption di oltre 200 server di comando e controllo, cioè le infrastrutture usate dai criminali per gestire dispositivi infetti, rubare dati e mantenere vive le operazioni.

Amadey e StealC: perché sono pericolosi

StealC viene venduto come malware-as-a-service: questo significa che diversi attori criminali possono usarlo, personalizzarlo e gestire i dati rubati tramite pannelli centralizzati. Inoltre, il modello a noleggio abbassa la barriera d’ingresso per chi vuole condurre campagne di furto dati.

Amadey, invece, funziona come servizio di distribuzione. Può installare altri payload, eseguire comandi, scaricare file, attivare componenti aggiuntivi e aprire la strada ad attacchi successivi, per questo risulta utile dentro campagne più lunghe e stratificate.

La combinazione tra loader e infostealer è molto efficace. Prima si ottiene l’accesso, poi si raccolgono informazioni utili. In parallelo, le credenziali rubate possono finire nel mercato degli access broker, dove altri gruppi le comprano per attacchi più mirati.

Per aziende e utenti finali, il rischio non si limita al singolo PC infetto. Un furto di cookie o token può permettere il superamento di alcune protezioni, anche quando l’autenticazione multifattore è presente.

Microsoft cybercrime: l’Italia tra i Paesi colpiti da StealC

Nel quadro globale, l’Italia si è classificata al 14esimo posto per numero di vittime di StealC. Il dato conferma che la minaccia non riguarda solo mercati lontani o grandi aziende internazionali.

Gli infostealer colpiscono spesso in modo trasversale. Possono partire da un download malevolo, un file falso, un software pirata, una campagna phishing o un sito compromesso. Inoltre, il danno può emergere solo in un secondo momento, quando le credenziali rubate vengono riutilizzate.

Per questo la difesa richiede attenzione sia sui dispositivi personali sia sugli account aziendali. Un computer domestico poco protetto può diventare il punto di ingresso verso servizi professionali, VPN, posta o piattaforme cloud.

In più, il mercato criminale tratta questi dati come merce. Credenziali, cookie e token possono essere rivenduti, combinati e sfruttati più volte, aumentando l’impatto anche dopo l’infezione iniziale.

Europol, partner e AI nel lavoro Microsoft

L’operazione è stata condotta con il supporto di Europol e partner del settore. Inoltre, Microsoft ha collaborato con realtà di cybersecurity e forze dell’ordine europee, unendo informazioni tecniche, dati investigativi e azioni legali.

Un elemento importante riguarda anche l’uso dell’AI. Microsoft ha spiegato di aver usato strumenti di analisi assistita, incluso Copilot, per esaminare più velocemente i malware, estrarre configurazioni, individuare server C2 e collegare parti diverse dell’infrastruttura.

Questo approccio ha permesso di ridurre tempi che, con analisi manuali, avrebbero richiesto ore o giorni. Di conseguenza, il team legale e tecnico ha potuto individuare connessioni più rapidamente e costruire un’azione coordinata più ampia.

Il caso mostra come l’AI possa essere utile anche nella difesa, non solo negli attacchi. In ambito cybersecurity, velocità e correlazione dei dati possono fare la differenza quando le infrastrutture criminali cambiano spesso.

Un modello legale che può fare scuola

Microsoft ha usato azioni civili contro infrastrutture criminali per molti anni. In questo caso, però, l’azienda parla di un’evoluzione: combinare analisi AI e strumenti legali per colpire più componenti di uno stesso sistema criminale.

L’approccio richiama l’uso di strumenti giuridici pensati per organizzazioni criminali, come il RICO Act negli Stati Uniti. Invece di trattare ogni malware come un caso separato, Microsoft prova a dimostrare il legame operativo tra più servizi e soggetti coinvolti.

Questo può diventare un modello replicabile. Infatti, il cybercrime funziona sempre più come un ecosistema, con fornitori, broker, sviluppatori, affiliati e servizi di supporto, quindi anche la risposta deve adattarsi a questa struttura.

Se il modello funziona, le future operazioni potrebbero mirare non solo a bloccare domini o server, ma a rendere più costoso e più lento ricostruire l’intera macchina criminale.

Come difendersi da infostealer e loader

Per utenti e aziende, il caso Amadey-StealC ricorda alcune regole pratiche: prima di tutto, bisogna mantenere aggiornati sistema operativo, browser e strumenti di sicurezza. Inoltre, serve attivare protezioni cloud-based e controlli capaci di bloccare varianti nuove o poco note.

La gestione delle credenziali resta fondamentale. Password uniche, password manager affidabili, autenticazione multifattore e monitoraggio degli accessi sospetti riducono il rischio di abuso dopo un furto dati.

Allo stesso tempo, le aziende dovrebbero controllare meglio i dispositivi non gestiti. Un’infezione su un PC personale può diventare un problema aziendale se da lì partono accessi a VPN, email, cloud o servizi interni.

In più, conviene ridurre l’uso di software pirata, crack, installer non verificati e allegati sospetti. Molte campagne di infostealer partono da esche semplici, ma molto efficaci.

La lotta al cybercrime cambia scala

L’azione contro Amadey e StealC racconta un cambio di passo. Microsoft non prova solo a spegnere un’infrastruttura, ma a colpire il modo in cui il cybercrime costruisce gli attacchi.

Inoltre, il lavoro con Europol e partner tecnici conferma che nessuna organizzazione può gestire da sola un problema globale. Le minacce attraversano Paesi, provider, piattaforme e settori diversi, quindi servono dati condivisi e azioni coordinate.

Per gli utenti, il risultato immediato è una riduzione della capacità operativa di due strumenti molto diffusi. Per il settore, invece, il messaggio è più ampio: il cybercrime va trattato come sistema, non come somma di singoli malware.

Microsoft prova così a spostare la pressione sui punti di collegamento tra accesso iniziale, furto dati e monetizzazione. Ed è proprio lì che oggi si costruiscono molti attacchi ransomware, frodi finanziarie e interruzioni di servizi.