Operation Endgame: 27 Millionen Zugangsdaten gesichert, 326 Server zerschlagen
25.06.2026 - 11:17:45 | boerse-global.de
In einer konzertierten Aktion namens Operation Endgame gingen die Behörden im Juni 2026 gegen drei gefährliche Schadsoftware-Familien vor: SocGholish, Amadey und StealC. Hunderte Server wurden beschlagnahmt, Millionen gestohlene Zugangsdaten sichergestellt.
Koordinierte Schläge gegen Amadey und StealC
Am 24. Juni 2026 verkündeten Europol und Microsoft einen entscheidenden Erfolg. Die beiden Malware-Plattformen – Amadey, ein Botnetz und Schadsoftware-Lader, aktiv seit 2018, und StealC, ein Datendieb aus dem Jahr 2023 – nutzten offenbar dieselbe Infrastruktur. Microsofts Einsatz von Künstlicher Intelligenz und Copilot half, diese Verbindung aufzudecken. Ein gerichtlicher Beschluss ermöglichte die Abschaltung von über 200 Kommando- und Kontrollservern (C2).
Die Bilanz der Aktion ist beeindruckend: 326 Server und 142 Domains wurden zerstört. Die Ermittler froren zudem Kryptowährungsvermögen im Wert von mehr als 41 Millionen Euro ein. Noch wichtiger: Sie stellten 27 Millionen gestohlene Login-Daten sicher. Allein in der ersten Maihälfte 2026 waren mehr als 140.000 Computer mit diesen Schädlingen infiziert.
Juristisch betrachtet war dies ein Novum: Erstmals nutzten die Behörden das US-amerikanische RICO-Gesetz, um zwei verschiedene Cybercrime-Werkzeuge gleichzeitig zu bekämpfen. Unterstützt wurde die Operation von Sicherheitsfirmen wie ESET, Bitdefender und Bitsight.
Das Ende des SocGholish-Netzwerks
Die Operation Endgame zeigt: Cyberkriminelle nutzen Malware-as-a-Service, um massenhaft Zugangsdaten zu stehlen. Dieser Report liefert Ihnen eine sofort umsetzbare Checkliste, um Ihr Unternehmen vor Ladern wie Amadey und SocGholish zu schützen. Jetzt kostenlosen Sicherheits-Report anfordern
Bereits am 18. Juni 2026 gelang ein weiterer Schlag. Die Behörden zerschlugen die Infrastruktur von SocGholish (auch bekannt als FakeUpdates), die mit der Hackergruppe TA569 und der kriminellen Organisation Evil Corp in Verbindung steht. 106 Server und 101 Domains wurden beschlagnahmt.
Das Netzwerk nutzte kompromittierte WordPress-Seiten, um Schadsoftware zu verbreiten. Im Zuge der Aktion konnten die Ermittler 14.971 infizierte WordPress-Websites bereinigen und 1,4 Millionen gestohlene Zugangsdaten identifizieren. Branchenanalysen zufolge hatten zahlreiche Cloud-Kunden versucht, auf die kontrollierte Infrastruktur zuzugreifen.
Das Geschäftsmodell: Malware-as-a-Service
Die Ermittlungen gewährten tiefe Einblicke in das "Cybercrime-as-a-Service"-Modell. Amadey funktionierte nach einem Pay-per-Rebuild-Prinzip: Kunden zahlten 600 Dollar Lizenzgebühr plus 50 Dollar für jede neue Version der Malware. StealC wurde für rund 1.000 Dollar für sechs Monate angeboten.
Infektionen über kompromittierte Websites nehmen rasant zu – allein SocGholish nutzte 14.971 WordPress-Seiten. Erfahren Sie in diesem Leitfaden, wie Sie Schatteninfektionen in Echtzeit erkennen und einen Notfallplan bei Datenverlust umsetzen. Notfallplan & Erkennungs-Tools jetzt sichern
Diese Werkzeuge dienen dazu, sensible Daten abzugreifen – von Browserdaten bis hin zu Kryptowährungs-Wallets. Die höchsten Infektionsraten wurden in den USA, der Türkei, Indien und Polen gemessen.
Durch die gezielte Attacke auf die "Produktionsstraße" der Cyberkriminalität – bei der Lader wie Amadey den Erstzugriff für Datendiebe und Erpressungssoftware liefern – wollen die Behörden das gesamte kriminelle Ökosystem nachhaltig stören. An der Operation beteiligten sich neben Europol und dem FBI auch zahlreiche europäische Polizeibehörden sowie IBM X-Force und Proofpoint.
