Microsoft informó que herramientas de inteligencia artificial, entre ellas Copilot, aceleraron una operación internacional contra Amadey y StealC, dos plataformas de malware asociadas al robo de credenciales y otros datos. La acción, coordinada con Europol y varios cuerpos policiales, terminó con 326 servidores y 142 dominios neutralizados.
IA para leer código malicioso
La Unidad de Crímenes Digitales de Microsoft empleó IA para estudiar el código detrás de estas herramientas y encontrar relaciones que, de forma manual, habrían requerido semanas. En lugar de revisar líneas y líneas de programación de manera tradicional, los investigadores formularon preguntas en lenguaje sencillo y obtuvieron pistas sobre la conexión entre ambos programas.
Microsoft explicó en su blog de seguridad que sus ingenieros crearon agentes de IA para examinar funciones del malware, desensamblar el código y detectar patrones. Después de ese proceso, Copilot ayudó a ubicar direcciones de comando y control, conocidas como C2, lo que permitió identificar servidores activos y seguir la pista de la infraestructura utilizada por los operadores.
Dos herramientas que trabajan juntas
Amadey y StealC funcionan de forma complementaria: una abre la puerta a los dispositivos infectados y la otra extrae la información almacenada. Entre los datos que pueden sustraer figuran contraseñas, billeteras de criptomonedas, datos de navegadores, correos electrónicos y mensajes. Solo en las dos primeras semanas de mayo, ambas herramientas habrían infectado más de 140.000 ordenadores en todo el mundo.
Richard Boscovich, asesor legal de Microsoft, comparó ese acceso inicial con tener las llaves de una vivienda: aunque todavía no se haya robado nada, el control sobre el sistema ya está comprometido. Esa capacidad de entrada es luego comercializada a otros actores interesados en aprovechar el acceso a los equipos.
Demanda civil y ofensiva contra más redes
El vínculo entre Amadey y StealC fue clave para que Microsoft presentara una demanda civil bajo la Ley RICO, una normativa estadounidense diseñada para perseguir al crimen organizado. La compañía buscó así actuar contra varios actores al mismo tiempo, en lugar de llevar procesos separados por cada herramienta o responsable.
Además de Microsoft, el operativo reunió a Europol, la Oficina Federal de Investigación Criminal de Alemania, las policías nacionales de Países Bajos y Dinamarca, IBM y Proofpoint. La ofensiva también apuntó a SocGholish, otro malware relacionado con el grupo ruso de cibercrimen Evil Corp, que se distribuía mediante falsas actualizaciones de navegador en sitios comprometidos, sobre todo construidos con WordPress.
La acción forma parte de la Operación Endgame, descrita como la mayor intervención realizada hasta ahora contra vendedores de ransomware. Coordinada por Europol y Eurojust, involucró a fuerzas policiales de Australia, Bélgica, Canadá, Dinamarca, Francia, Alemania, Países Bajos, Reino Unido y Estados Unidos, además de más de 30 organizaciones públicas y privadas. Según Europol, también se recuperaron hasta 27 millones de credenciales robadas, se bloquearon criptoactivos por más de 41 millones de euros y se sanearon más de 14.000 sitios web infectados.
