Europol 给出的数字很硬:326 台服务器、142 个域名被处置,最多 2700 万条登录凭据被找回,还发现 4700 万美元犯罪来源加密资产。

微软给出的另一组数字也很关键:超过 200 台命令与控制服务器受到扰乱,超过 18000 台受感染电脑被切断犯罪控制链路。

这就是 Operation Endgame 这一轮行动的核心现场。它不是单纯“端掉一个黑客团伙”,也不能理解成某个恶意软件生态被永久消灭。

我更在意的是另一件事:执法机构和微软、ESET、Proofpoint、IBM X-Force、Bitsight、MBSD 等安全公司,正在沿着网络犯罪的共享基础设施开刀。打的不是一个点,而是一条装配线。

被打击的不是一个工具,而是几段犯罪链条

Amadey、StealC、SocGholish 不是同一个东西,也不应被写成同一伙人。

它们更像一条犯罪供应链里的不同工位。有人负责入侵,有人负责偷数据,有人负责扩大感染入口。攻击者不必自己从零写工具,买、租、拼,就能把攻击跑起来。

工具主要角色典型目标或用途对防守方的影响
Amadey恶意软件即服务平台入侵设备,投递勒索软件等载荷常出现在初始控制和载荷投递环节
StealC信息窃取即服务平台凭据、认证 Cookie、加密钱包、浏览器扩展、特定文件直接产出可交易、可复用的数据
SocGholish恶意软件加载器通过被攻陷网站诱导用户安装伪装软件牵涉网站清理、账号轮换和访问排查

这张表说明了一个问题:这次行动的意义,不在于“某个名字消失了”。

Amadey 早在 2018 年前后就已活跃,近年还被观察到滥用 GitHub 分发载荷。StealC 则贴近近几年窃密即服务的需求。只要下游还有买家,上游工具就有重建动力。

所以,防守方真正要打的,是它们之间能共享、能复用、能卖给不同客户的基础设施。

这也是“装配线”这个判断成立的地方。

为什么能一起打:基础设施重叠,比单点查封更重要

微软称,它通过 AI 分析发现 Amadey 与 StealC 存在重叠基础设施,并借助美国 RICO 法律路径,将两者作为同一犯罪合谋的一部分处理。

这里不要被“AI”两个字带偏。

更关键的是,安全团队需要在大量样本、域名、服务器和通信模式中找出关联。只有关联能站住,技术线索才可能进入法律行动。否则,所谓“打击供应链”只能停留在安全报告里。

这也解释了为什么 Operation Endgame 和普通下架不太一样。

过去,Emotet、QakBot 等僵尸网络也经历过跨国打击。但很多犯罪基础设施会改名、迁移、复活。关掉几台服务器,攻击者可能几周后换个壳回来。

这次行动更像是在同一时间切多根线:C2、域名、托管、分发、受感染主机控制链路,以及被盗凭据后续使用空间。

但边界也要说清。

原文使用的是 disrupted、actioned、severed control,对应的是扰乱、处置、切断控制。它不等于永久摧毁。4700 万美元也只是被发现为犯罪来源加密资产,不能写成已经追回赃款。

攻击者仍可能迁移到新域名、新托管商、新加载器,或者换用别的 MaaS 市场。差别在于,重建会更贵、更慢,也更容易暴露。

企业和个人该盯什么:凭据风险会继续往后传

这类新闻最容易被看成“执法机构干了一票大的”。但对企业安全团队来说,真正麻烦的部分通常在后面。

最多 2700 万条登录凭据被找回,意味着后续要处理的不是新闻热度,而是账号风险。

最相关的两类人,动作也不一样:

对象现在该做什么重点原因
企业安全团队排查企业邮箱、VPN、SaaS 后台、代码仓库账号是否泄露或复用;检查异常登录和 Cookie 会话滥用被盗凭据可能绕过单纯的终端防护
WordPress 等站点管理员清理被感染站点,轮换管理员凭据,检查插件和主题更新流程SocGholish 这类加载器常借被攻陷网站扩散

普通个人用户也不是完全无关。

更实际的做法是:给重要账号换独立密码,开启多因素认证,检查浏览器里保存的密码和扩展,留意加密钱包和邮箱的异常登录提醒。尤其是长期复用密码的人,风险会被放大。

对企业来说,不建议只做一次“全员改密”就结束。

更稳妥的路线是把凭据、终端和日志放在一起看:账号有没有异常地区登录,终端有没有 Amadey、StealC 相关残留,过去几个月有没有 OAuth 授权、Cookie 会话、VPN 登录的异常记录。

接下来最该观察的,不是还有多少宣传口径上的“胜利”。

要看三个具体变量:被切断的 C2 和域名多久重建;新基础设施是否更分散;被找回的凭据能否及时转化为通知、重置和企业排查动作。

如果这些环节跟不上,攻击者失去的只是旧管道。被盗账号仍可能在别处继续流通。