Azione congiunta contro i cybercriminali: BKA, Europol e Microsoft smantellano l'infrastruttura di malware

Al centro di questa operazione vi erano i due malware più utilizzati al mondo, Amadey e StealC. Gli investigatori hanno scoperto che, sebbene i due malware siano stati sviluppati da criminali diversi, si appoggiano sulla stessa infrastruttura tecnica. Amadey si introduce nei sistemi, mentre StealC ruba password e dati sensibili – una classica divisione del lavoro nel sottobosco digitale.

Cooperazione internazionale

Solo nella prima metà di maggio, questi strumenti sono stati coinvolti in oltre 140.000 infezioni in tutto il mondo. La Germania è stata, in questo campione, la seconda nazione più colpita dopo gli USA. Per comprendere il funzionamento del malware, gli investigatori hanno utilizzato l'intelligenza artificiale, con il cui aiuto sono riusciti ad analizzare il codice complesso in pochi minuti anziché in giorni.

La cooperazione tedesco-olandese-danese ha costituito la spina dorsale dell'operazione. In questo contesto il Bundeskriminalamt tedesco ha svolto un ruolo importante: insieme alle autorità di polizia olandesi e danesi, gli agenti tedeschi sono intervenuti contro l'infrastruttura criminale nell'ambito dell'internazionale "Operation Endgame". Sotto la guida di Europol e del BKA sono stati sequestrati centinaia di server, liberati milioni di PC infetti e spiccati mandati d'arresto internazionali contro i mandanti.

Strumenti giuridici contro reti globali

Il bilancio dell'azione è considerevole: circa 15.000 siti web, oltre 320 server e più di 140 domini sono stati messi fuori uso. Microsoft è riuscita a disattivare oltre 200 server di comando e controllo – quei sistemi centrali con cui gli hacker malintenzionati controllano a distanza i dispositivi infetti. Parallelamente è stato interrotto il controllo criminale su più di 18.000 computer delle vittime identificati in tutto il mondo.

Parallelamente allo smantellamento tecnico, sono proseguiti i procedimenti giudiziari. In Germania le indagini sono condotte anche per sospetta estorsione aggravata in banda e a scopo di lucro, nonché estorsione in caso particolarmente grave. Secondo quanto riportato dai media, è stata applicata la legge statunitense contro la criminalità organizzata – il cosiddetto RICO (Racketeer Influenced and Corrupt Organizations Act). Questa consente agli investigatori di perseguire diversi attori come parte di un'unica cospirazione criminale globale e di colpire così l'intera rete in un solo colpo.

Voci dalle autorità investigative

Mentre Microsoft analizzava la minaccia rappresentata da Amadey, il Centro europeo per la lotta alla criminalità informatica (EC3) di Europol indagava parallelamente sul programma StealC. Tra questi figurano anche gli attacchi del gruppo di origine russa "Secret Blizzard", che ha sfruttato infezioni da Amadey per attacchi contro obiettivi in Ucraina. Le conseguenze di tali attacchi sono di vasta portata e vanno da ospedali paralizzati fino allo spionaggio sponsorizzato da Stati.

Carsten Meywirth, capo del dipartimento Cybercrime del BKA, ha dichiarato: "Con la continuazione dell'Operation Endgame siamo intervenuti ancora una volta contro le infrastrutture tecniche su cui hanno fatto affidamento numerosi cybercriminali in tutto il mondo." Un portavoce del BKA ha aggiunto: "Le misure tolgono agli autori strumenti centrali, interrompono la catena di infezione virtuale e proteggono molte altre potenziali vittime da queste varianti di malware."

Con l'operazione è stato indebolito un tassello essenziale del processo di creazione del valore criminale delle strutture connesse e basate sulla divisione del lavoro nell'ambito della cybercriminalità, ha proseguito il portavoce del BKA. Meywirth ha inoltre sottolineato: "Questo dimostra che le autorità investigative internazionali oppongono alla cybercriminalità, oltre confine, tutti gli strumenti legali, anche in stretta collaborazione con il settore privato." L'"Operation Endgame" è stata finora la più grande operazione di polizia internazionale contro la cybercriminalità, durante la quale nel maggio 2024 è stata smantellata l'infrastruttura dei più pericolosi loader di botnet al mondo – tra cui anche Amadey.

L'azione ha avuto anche effetti immediati sul mercato finanziario: il titolo Microsoft, quotato al NASDAQ, è salito temporaneamente dell'1,28 percento a 378,73 dollari. La notizia è stata trasmessa il 24.06.2026 nel programma Deutschlandfunk, con datazione da Redmond e Wiesbaden.