✨︎ Resumen (TL;DR):
- Microsoft utilizó su herramienta Copilot para analizar y desmantelar la infraestructura de Amadey y StealC.
- La operación internacional confiscó 326 servidores, 142 dominios y recuperó 27 millones de credenciales robadas.
- La tecnología de rastreo detectó más de 140,000 computadoras infectadas en todo el mundo en mayo de 2026.
Microsoft utilizó su herramienta de inteligencia artificial Copilot para ayudar a investigadores internacionales a desmantelar la infraestructura detrás de Amadey y StealC, dos de las herramientas de cibercrimen más activas a nivel global.
Esta ofensiva formó parte de la Operación Endgame, un esfuerzo coordinado por Europol que involucró a agencias policiales de Canadá, Dinamarca, Alemania, Países Bajos, Reino Unido y Estados Unidos.
Durante el operativo, las autoridades confiscaron 326 servidores, dieron de baja 142 dominios e identificaron activos de criptomonedas valuados en más de 41 millones de euros.
La Unidad de Delitos Digitales de Microsoft enfocó sus esfuerzos en Amadey y StealC debido a su conexión directa en la cadena del cibercrimen. Amadey funciona como un cargador que obtiene el acceso inicial a los sistemas mediante campañas de phishing, mientras que StealC extrae contraseñas e información confidencial.
Solo en las primeras dos semanas de mayo de 2026, la telemetría de Microsoft detectó que estas dos herramientas infectaron a más de 140,000 computadoras en todo el mundo.
El papel de Copilot contra el cibercrimen
Por primera vez, los investigadores utilizaron análisis asistido por inteligencia artificial para detectar infraestructura compartida entre ambos códigos maliciosos. Esto permitió a Microsoft emprender una acción legal unificada.
Anteriormente, la compañía utilizaba demandas civiles y órdenes judiciales para confiscar botnets, como ocurrió contra Zeus en 2012, Trickbot o RaccoonO365. La de IA aceleró este proceso de rastreo de manera contundente.
Europol explicó que la estrategia de la Operación Endgame busca atacar toda la cadena de suministro criminal en lugar de amenazas individuales, neutralizando el modelo de cibercrimen como servicio.
El golpe global también permitió recuperar 27 millones de credenciales de inicio de sesión robadas y desinfectar casi 15,000 sitios web de WordPress que estaban comprometidos con el malware SocGholish. El esfuerzo contó con el apoyo de firmas aliadas como Proofpoint, IBM X-Force, Bitdefender y la Shadowserver Foundation.
