Operation Endgame: Aktion gegen Malware SocGholish, Amadey und StealC

Foto von Europol zur internationalen «Operation Endgame», einem angeblich grossen Schlag gegen organisierte Cyberkriminalität (2026).

Gemäss Europol spielten generative KI und Microsoft bei der jüngsten Aktion eine wichtige Rolle.Bild: Europol

Polizei legt über 200 gefährliche Malware-Server lahm – mithilfe von KI

Staatliche Ermittler und Fachleute des US-Konzerns Microsoft haben der organisierten Cyberkriminalität in einer «Aktionswoche» einen angeblich massiven Schlag versetzt. Einige Spuren führen nach Russland.

25.06.2026, 06:1525.06.2026, 09:29

Die europäische Polizeibehörde Europol hat am Mittwoch über weitere Erfolge gegen Cyberkriminelle im Rahmen der 2024 lancierten «Operation Endgame» informiert.

Gemäss aktueller Mitteilung haben Ermittler aus mehreren Ländern eine umfassende internationale Operation gegen die Infrastruktur hinter Ransomware und Malware wie SocGholish, Amadey und StealC durchgeführt.

«Das gemeinsame Hauptziel bestand darin, die ‹Fliessbänder› von Cyberkriminellen zu unterbrechen, mit denen diese Ransomware, Finanzbetrug und Angriffe auf kritische Infrastrukturen durchführen.»

quelle: europol.europa.eu

Die jüngste Operation markiere einen Strategiewechsel, heisst es: Anstatt sich nur auf einzelne Bedrohungen zu konzentrieren, hätten Europol, Strafverfolgungs- und Justizbehörden sowie Partner aus der Privatwirtschaft «die gesamte Kette, die Cyberangriffe ermöglicht», unterbrochen.

Anstatt jedes Schadprogramm isoliert zu bekämpfen, erlaubte das US-amerikanische RICO-Gesetz den Ermittlern, die verschiedenen Akteure als Teil einer einzigen, globalen kriminellen Verschwörung zu belangen und so das gesamte Netzwerk auf einmal anzugreifen (dazu unten mehr).

Was aufhorchen lässt: Generative künstliche Intelligenz spielt laut Europol bei der Aufklärung eine wichtige Rolle.

Was wurde konkret erreicht?

Microsoft konnte laut Mitteilung über 200 Command-and-Control-Server abschalten – jene zentralen Systeme, mit denen die Hacker infizierte Geräte fernsteuern.

Gleichzeitig wurde die kriminelle Kontrolle über mehr als 18'000 identifizierte Opfer-Computer weltweit gekappt. Im Zentrum dieser Operation standen die beiden weltweit am häufigsten genutzten Schadprogramme Amadey und StealC.

SocGholish steht laut Europol-Mitteilung in Verbindung mit der berüchtigten russischen Cyberkriminellen-Gruppe Evil Corp. Diese Gruppierung wurde bereits für die Windows-Malware Zeus und Dridex verantwortlich gemacht und soll ausserdem hinter mehreren gross angelegten Ransomware-Angriffen und Geldwäscheoperationen stecken.

Es seien zudem «Krypto-Vermögenswerte krimineller Herkunft», sprich Bitcoin und Co., im Wert von über 41 Millionen Euro identifiziert, markiert und gesperrt worden. Darüber hinaus konnten im Rahmen dieser Operation 27 Millionen gestohlene Zugangsdaten sichergestellt werden.

Zu den wichtigsten Massnahmen gehörte laut Europol auch die Bereinigung infizierter WordPress-Websites. Betroffene seien aufgefordert worden, ihre Plattformen zu aktualisieren und ihre Anmeldeverfahren zu verstärken – sprich: Sie sollten die Zwei-Faktor-Authentifizierung aktivieren.

Wichtig: Es handelt sich um Behördenangaben, die sich nicht unabhängig überprüfen lassen. Die mittel- und langfristige Wirkung der Operation muss sich erst zeigen.

Wie gingen die Ermittler vor?

Der laut Europol «durchschlagende und schnelle Erfolg» sei nur durch eine neuartige Kombination aus Technologie und neuen rechtlichen Optionen möglich geworden.

Um die Funktionsweise der Schadsoftware zu verstehen, hätten die Ermittler künstliche Intelligenz genutzt, mit deren Hilfe sie den komplexen Code «in Minuten statt Tagen» analysieren konnten. Bekanntlich sind die aktuellen KI-Sprachmodelle der führenden Anbieter, Frontier Models genannt, sehr leistungsfähig und vielseitig. Zu ihren Stärken gehört das Analysieren von Software und das Finden von Schwachstellen.

Laut Europol-Mitteilung fanden die Ermittler heraus, dass die beiden Schadprogramme Amadey und StealC zwar von unterschiedlichen Kriminellen entwickelt wurden, aber auf dieselbe technische Infrastruktur zurückgreifen.

Diese KI-gestützte Erkenntnis habe es dem Anwaltsteam von Microsoft ermöglicht, das US-Gesetz gegen organisierte Kriminalität (RICO – Racketeer Influenced and Corrupt Organizations Act) anzuwenden.

RICO ist ein 1970 verabschiedetes US-Bundesgesetz. Es wurde ursprünglich geschaffen, um die Mafia und traditionelle organisierte Kriminalität zu bekämpfen. Heute dient es als mächtiges Instrument, um den Kopf einer Bande für die Taten der Untergebenen zur Verantwortung zu ziehen

Wie arbeiteten die Cyberkriminellen?

Einbrecher und Diebe

Die nun angeblich neutralisierten Malware-Varianten wurden von den Entwicklern Dritten als kriminelle Dienstleistung angeboten und von anderen Cyberkriminellen als Werkzeug zur Erstinfektion von Opfer-Rechnern genutzt. Anschliessend dienten sie als Ausgangspunkt für weitere kriminelle Aktivitäten, wie die Installation von Ransomware zur digitalen Erpressung oder den betrügerischen Umgang mit Daten.

Die Cyberkriminellen, die die entsprechenden Tools nutzten, gingen bei ihren Straftaten arbeitsteilig vor: Mit Amadey konnten sie in fremde IT-Systeme eindringen, um dann mit StealC Passwörter und sensible Daten zu stehlen.

Allein in der ersten Maihälfte waren diese Werkzeuge laut Mitteilung an mehr als 140'000 Infektionen weltweit beteiligt. Deutschland war bei dieser Stichprobe hinter den USA am stärksten von den Angriffen betroffen.

Auch Ukraine im Visier

Die Konsequenzen solcher Angriffe sind weitreichend und reichen von lahmgelegten Spitälern bis hin zu staatlich unterstützter Spionage. Dazu gehören auch Angriffe der russisch-assoziierte Gruppe «Secret Blizzard», die Amadey-Infektionen für Attacken auf Ziele in der Ukraine nutzte.

Der Erfolg gegen die kriminelle Angriffsserie war massgeblich internationaler Polizeiarbeit zu verdanken, bei der auch deutsche Ermittler im Fokus standen. Während Microsoft die Bedrohung durch Amadey untersuchte, ermittelte Europols Zentrum zur Bekämpfung der Cyberkriminalität (EC3) parallel gegen das Programm StealC.

Hierbei spielte das deutsche Bundeskriminalamt (BKA) eine wichtige Rolle: Gemeinsam mit niederländischen und dänischen Polizeibehörden gingen die deutschen Beamten im Rahmen der internationalen «Operation Endgame» gegen die kriminelle Infrastruktur vor.

Als private Cybersicherheits-Partner neben Microsoft erwähnt Europol in der eigenen Medienmitteilung die Shadowserver Foundation, Registrar of Last Resort (RoLR), Proofpoint, IBM X-Force, Infoblox, NorthWave, Orange Cyberdefense, Bitdefender, Have I Been Pwned (HIBP) und Spamhaus.

2024 gestartet

«Operation Endgame» gilt als bisher grösste internationale Polizeiaktion gegen Cyberkriminalität. Im Mai 2024 konnte die Infrastruktur der weltweit gefährlichsten Botnet-Loader – darunter auch Amadey – zerschlagen werden. Unter der Führung von Europol und dem BKA wurden Hunderte Server beschlagnahmt, Millionen infizierter PCs befreit und weltweite Haftbefehle gegen die Hintermänner erlassen.

Schweizer Polizeibehörden waren an den ursprünglichen Ermittlungen beteiligt, offenbar aber nicht an der aktuellen «Aktionswoche» gegen die drei Botnetze. Jedenfalls findet sich in der Europol-Meldung keine Schweizer Erwähnung.

«Bislang grösster Schlag» gegen (russische) Cyberkriminelle – Schweiz beteiligt

Quellen

europol.europa.eu: Global cyber strike disrupts SocGholish, Amadey, and StealC malware networks (24. Juni)
operation-endgame.com: Website zur Operation
Mit Material der Nachrichtenagenturen SDA/DPA

(dsc)

Analyse

Die Ruag bezahlte Online-Erpresser – darum ist der Fall viel explosiver als angenommen