
Amadey 點樣由冷門木馬變成過萬款 malware 嘅派送站
Operation Endgame 今次瞄準 loader、假更新同盜帳號鏈條
一隻 loader 點解咁麻煩
6 月 24 日,Europol 公布 Operation Endgame 新一波行動,聯同 Microsoft 等夥伴處理 SocGholish、Amadey、StealC 背後基建。執法方同私營夥伴下架、接管或者封鎖 326 個 server 同 142 個 domain,亦回收約 2700 萬組失竊登入資料。表面係一宗 takedown,實際重點落喺 cybercrime 點樣用 loader、假更新同盜帳號工具砌出可重用嘅攻擊鏈。
Amadey 呢個名,多數普通用戶未聽過;麻煩位係佢做 loader。MBSD 研究話 Amadey 約 2018 年 10 月起出現,主要打 Windows,常見入口包括 phishing email、盜版軟件綁埋安裝、exploit。部機中咗之後,佢會向 C2 server 報到,交出版本同裝置資料,再按指令拎第二批 payload。攻擊者唔使一次過寫齊所有功能,先拎落腳點,再塞 StealC 或者其他工具。

圖片:Europol
六年半數據睇到供應鏈
iThome 報道引用 MBSD 六年半觀察:MBSD 由 2019 年 10 月 24 日到 2026 年 6 月 3 日,每日兩次向 Amadey C2 模擬 check-in,總共觀察 741 個 C2 server,其中 493 個曾經有正常回應。2025 年 11,635 呢個數,講嘅係按日取得再按年加總嘅 unique additional payload 樣本;即係 Amadey 派過好多唔同 payload,唔應該理解成 11,635 個完全獨立 malware 家族。
MBSD 數據有個位幾值得睇:2019 年得 66,2021 年去到 1,231,2022 年 3,500,2023 年 8,360,2025 年衝到 11,635;同時每日活躍 C2 server 高峰反而喺 2023 年,2024 年之後開始回落。換句話講,後期少咗 server 都可以派好多貨,代表犯罪 affiliate、payload 自動化同 hosting 手法成熟咗。防守如果只盯新 domain 或者單一 IP,好易跟唔上節奏。

圖片:MBSD
Operation Endgame 打咗邊度
Europol 公告講,今次行動有加拿大、丹麥、德國、荷蘭、英國、美國等執法單位參與,由 Europol 同 Eurojust 協調,Microsoft、Shadowserver、Proofpoint、IBM X-Force、Bitdefender 等私營夥伴都有份。官方話回收約 2700 萬組失竊登入資料,執法方亦標記同限制使用逾 4100 萬歐元犯罪加密資產。呢啲唔係淨係戰績數字;server、domain、credential、crypto wallet 幾邊一齊郁手,犯罪方要重建就貴好多。
SocGholish 嗰邊,打法好貼近日常用戶:用戶入咗已中招嘅 WordPress site,畫面彈出似 Chrome 或者 Edge 更新嘅提示,一按就裝咗 FakeUpdates。Shadowserver 同多個 partner 公告提到,今輪清理咗 14,971 個受感染網站。呢點對公司 IT 幾有用:入口好多時係正常網站俾人插咗碼,淨靠 blocklist 擋 domain,會漏走一大截。
Windows 同公司帳號風險
公開資料暫時未見香港受害數字;不過攻擊路線好貼近日常:phishing email、假 browser 更新、盜版軟件、ClickFix 呢類「跟住指示貼 command」玩法,全都係 Windows 用戶同 remote work 公司會撞到嘅風險。中招後,部機慢咗只係表面;browser 密碼、session cookie、VPN/SSO token、email 帳號、crypto wallet seed 或者 app token 一次過流出去。
公司層面,MFA 唔等於完事,因為 stealer 可以攞 session cookie;password manager 亦唔係萬能,要配合裝置保護、EDR/Defender 訊號、Conditional Access policy 同異常登入告警。個人用戶就簡單啲:browser 彈窗叫你更新 Chrome/Edge,就返官方更新入口;唔好裝破解軟件;如果懷疑中咗 stealer,先隔離部機,再重設曾喺嗰部機登入過嘅密碼同 token,唔好淨係掃毒就算。
下一步睇重建速度
Operation Endgame 今次唔會令 Amadey 呢類工具消失;執法打低基建之後,犯罪方照樣可能換新 domain、新 hosting、新 affiliate。值得睇係重建速度:如果 C2 活躍數短期內彈返、StealC credential dump 繼續出現,代表呢條供應鏈未斷晒。防守方最應該記住一點:唔好淨係守公司 managed laptop,員工私人機、browser session 同 email 帳號一樣可以係入口。
參考來源
- iThome — 惡意軟體Amadey用於散布超過1萬種惡意程式 — original report
- Europol:Global cyber strike disrupts SocGholish, Amadey, and StealC malware networks — 原始執法公告,核對 326 個 server、142 個 domain、2700 萬組登入資料、4100 萬歐元加密資產等數字。
- MBSD:Amadey's Rise and Fall: What Six and a Half Years of C2 Observation Reveal — Amadey 六年半 C2 觀察報告,核對 741 個 C2、493 個回應、11,635 個 unique payload 樣本等細節。
- Microsoft Security Blog:StealC and Amadey — 補充 Amadey/StealC 供應鏈、info-stealer、session cookie、MFA 風險同防護建議。
- Shadowserver:StealC Historical Bot Infection Special Report — Operation Endgame 夥伴資料,核對 6 月 15-19 日行動時間、參與方同 StealC/WordPress 清理脈絡。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







