- ESET 參與了一項全球協調行動,成功摧毀並瓦解了 Amadey 與 Stealc 惡意軟體網路。
- 本次破獲行動旨在查封所有已知的 Amadey 和 Stealc 中繼站(C&C 伺服器)或使其失效,直接切斷這兩大「服務型惡意軟體(MaaS)」旗下結盟夥伴(Affiliates)所依賴的基礎設施。
- ESET 研究團隊提供了關鍵的技術分析、統計數據、已知中繼站伺服器清單、加密金鑰、攻擊活動識別碼以及其他深度情資。
- 在本次報告中,ESET 研究團隊針對這兩大惡意軟體家族在結盟夥伴層級的 MaaS 生態系統進行了全面剖析。
布拉提斯拉瓦、布拉格 —
2026 年 6 月 24 日 — ESET 研究團隊透過提供精確的技術分析、基礎設施追蹤以及結盟夥伴層級的深入洞察,全力協助破獲 Amadey 殭屍網路(Botnet)與 Stealc 資訊竊取軟體(Infostealer)。這兩款惡意軟體皆以「服務型惡意軟體(MaaS)」模式進行商業化運作。
本次破獲行動由微軟數位犯罪單位(DCU)、BitSight、Lumen 以及三井物產安全方向公司(MBSD)聯合協調,旨在全面打擊 Amadey 和 Stealc 結盟夥伴所使用的所有已知網路基礎設施,以癱瘓其網路犯罪維運。與此同時,歐洲刑警組織(Europol)的歐洲網路犯罪中心(EC3)與歐洲執法首長夥伴(包括德國聯邦刑事警察局、荷蘭國家警察局及丹麥國家警察局),聯手 IBM 和 Proofpoint,在「終局行動(Operation Endgame)」的框架下對 Stealc 展開深度調查。
根據 ESET 的遙測偵測率數據顯示,Amadey 的蹤跡遍布全球,並未呈現特定的區域集中性。其中偵測率最高的國家為印度、土耳其、埃及、墨西哥和西班牙。同樣地,Stealc 亦呈全球化分佈,且無特定區域聚焦;其偵測率最高的地區則為美國、波蘭和義大利。
ESET 藉由分享長期追蹤這兩大惡意軟體家族期間所蒐集到的技術分析、統計資訊、已知命令與控制(C&C)伺服器清單、加密金鑰、惡意編譯版本與攻擊活動識別碼等核心威脅情資,為本次破獲行動做出了重大貢獻。
參與協助本次 Amadey 與 Stealc 破獲行動的 ESET 專屬研究人員 Jakub Tomanek 解釋道:「ESET 在過去三年中持續追蹤 Amadey 殭屍網路與 Stealc 資訊竊取軟體。為了配合這次的執法行動,我們分享了涵蓋 2025 年第四季至 2026 年上半季的統計數據,以及從處理過的惡意軟體樣本中提取出的技術指標與組態配置數據。我們的自動化系統一直在對 Amadey 和 Stealc 的樣本進行逆向剖析,以識別出對於大規模追蹤最關鍵的底層欄位。這包括中繼站伺服器位址、編譯版本識別碼、加密金鑰、網頁 URL 路徑、攻擊活動識別碼,以及這些惡意軟體家族在與攻擊者控制之基礎設施通訊時所使用的其他內嵌參數值。」
透過分享這些深入的技術分析、統計資料與威脅情資(如中繼站伺服器清單、結盟夥伴識別碼和加密金鑰),能讓各國執法機構以極高的精確度與信心,鎖定這些惡意基礎設施並採取攔截與查封行動。
在技術特性上,Amadey 是一款模組化的惡意軟體下載器(Loader)。其核心目的在於將額外的惡意代碼分發部署至受害系統中,不過它也提供了用於資料外洩和遠端控制的延伸模組。相比之下,Stealc 則是典型的「服務型資訊竊取軟體」。它專門搜刮憑證、瀏覽器 Cookie、加密貨幣錢包、瀏覽器擴充功能,以及符合結盟夥伴自訂特徵的特定檔案。
這兩大惡意軟體家族皆在暗網論壇上大肆刊登廣告,並以服務訂閱模式進行兜售。在這兩個生態系中,結盟夥伴都會獲得一個自主託管的管理控制面板,且必須部署在夥伴自己的伺服器基礎設施上。這對結盟夥伴的技術能力提出了一定的要求,但同時也讓夥伴能對受害者數據與惡意 payload 的分發擁有直接的掌控權。
雖然具體的散播手法最終取決於各個結盟夥伴的個人戰略,但 ESET 的遙測數據一致顯示,這兩款惡意軟體皆透過極為廣泛的管道進行傳遞。最常見的渠道包括偽造的軟體更新提示、破解版軟體安裝檔(Cracked software installers)以及第三方的惡意軟體下載器。
Amadey 採用的是「按次重新編譯(Pay-per-rebuild)」的收費模式。結盟夥伴在購買基礎授權後,每次需要產生新的編譯版本時(例如因中繼站遭封鎖而需要輪換到新的 C&C 伺服器時),都必須支付額外費用。換句話說,Amadey 的核心營運者並不向夥伴提供自主產生器(Builder tool),而是由營運者根據每位夥伴的要求手動編譯樣本。Amadey 提供了三個用於進階資料外洩與存取的模組:剪貼簿監控模組、憑證竊取模組以及基於 VNC 的遠端存取模組。該服務的基礎授權定價為 600 美元(以比特幣支付),每次重新編譯則額外加收 50 美元。
Stealc 則採取了對結盟夥伴更為友善的模式,在訂閱期內允許夥伴無限次產生編譯版本。這大幅降低了夥伴輪換 C&C 基礎設施的維運成本,使其能根據作戰需要隨時產生新的惡意樣本。它鎖定的資料來源極為廣泛,包括網頁瀏覽器、電子郵件用戶端、FTP 用戶端、遊戲平台所儲存的憑證,以及加密貨幣錢包檔案與瀏覽器擴充功能。Stealc 以月租訂閱模式銷售,最便宜的方案為每六個月 1,000 美元。
為了避免在黑客同儕圈中遭遇冒充詐騙,這兩款惡意軟體的營運者皆在暗網論壇上明確指示潛在的結盟夥伴,必須嚴格透過官方指定渠道與其建立聯繫。Amadey 引導買家透過其刊登廣告的暗網論壇私訊對接,而 Stealc 則使用暗網論壇私訊或專屬的 Telegram 頻道進行溝通。
ESET 將持續密切監控這兩個惡意軟體家族,並全面追蹤其在遭遇本次毀滅性打擊後,任何試圖重建維運基礎設施的死灰復燃跡象。
如欲了解更多關於 Amadey 與 Stealc 破獲行動的技術細節,請至 WeLiveSecurity.com 參閱 ESET 研究團隊的部落格專文:〈
ESET 參與全球聯合行動,聯手破獲 Amadey 與 Stealc〉。請務必在
Twitter(即現今的 X)、
BlueSky 和
Mastodon 上追蹤 ESET Research,以獲取 ESET 研究團隊的第一手最新網路資安新聞。
Amadey 全球分佈 – 偵測熱圖 (2025 年至今)
Stealc 全球分佈 – 偵測熱圖 (2025 年至今)
