V rámci globální Operace Endgame poskytli bezpečnostní experti z českých poboček společnosti ESET svým partnerům technickou analýzu a informace o infrastruktuře a partnerské síti obou škodlivých kódů. Útočníci je provozují v ekosystému MaaS, kdy malware nabízejí k zakoupení na černém trhu potenciálním zájemcům - svým budoucím partnerům.
Mezinárodní operaci koordinovalo oddělení Microsoft Digital Crimes Unit (DCU) ve spolupráci se společnostmi BitSight, Lumen a Mitsui Bussan Secure Directions (MBSD). Operace byla zaměřena na veškerou známou síťovou infrastrukturu, kterou útočníci využívali, s cílem ochromit jejich kyberkriminální aktivity.
Současně s tím v rámci této operace vyšetřovalo infostealer Stealc také Evropské centrum pro boj proti kyberkriminalitě (EC3) při Europolu, a to společně s evropskými orgány činnými v trestním řízení, včetně německého Spolkového kriminálního úřadu či nizozemské a dánské státní policie, a společnostmi IBM nebo Proofpoint.
Z dat telemetrie společnosti ESET vyplývá, že botnet Amadey působil globálně bez výrazného regionálního zaměření. Nejvyšší míru detekcí experti zaznamenali v Indii, Turecku, Egyptě, Mexiku a Španělsku.
Infostealer Stealc se také šířil globálně bez specifického regionálního zaměření. Nejvyšší míra detekcí pak byla zaznamenána ve Spojených státech, Polsku a Itálii.
"ESET sleduje botnet Amadey i infostealer Stealc již tři roky. Pro potřeby této operace jsme sdíleli statistiky pokrývající období od čtvrtého čtvrtletí roku 2025 do prvního pololetí 2026, a to spolu s technickými indikátory a konfiguračními daty získanými ze zpracovaných vzorků malwaru. Vzorky škodlivých kódů Amadey a Stealc analyzovaly naše automatizované systémy a identifikovaly data, která jsou nejrelevantnější pro sledování ve velkém měřítku. Patří mezi ně C&C servery, identifikátory verzí malwaru, šifrovací klíče, URL adresy, identifikátory kampaní a další hodnoty, které malware využívá pro komunikaci s infrastrukturou kontrolovanou útočníky," říká Jakub Tománek, bezpečnostní expert z pražské pobočky společnosti ESET, který se na operaci podílel.
Díky tomuto sdílení informací mohly orgány činné v trestním řízení s vysokou mírou jistoty identifikovat, prioritizovat a podnikat kroky proti infrastruktuře útočníků.
Bezpečnostní experti z českého ESETu budou i nadále sledovat oba malwary a monitorovat případné pokusy o obnovu jejich operační infrastruktury.
Amadey je modulární malware typu loader. Jeho hlavním účelem je distribuovat další škodlivý kód do kompromitovaných systémů, přičemž nabízí také moduly pro exfiltraci dat a získání vzdáleného přístupu. Stealc je naopak typickým infostealerem, který jeho autoři nabízejí v podobě služby dalším útočníkům. Zaměřuje se na přihlašovací údaje, soubory cookies, kryptoměnové peněženky, rozšíření prohlížečů a další soubory, které si útočníci určí.
Autoři obou rodin malwaru je nabízejí jako službu - MaaS (Malware-as-a-Service) a propagují na darknetových fórech. V obou ekosystémech získávají jejich zájemci (partneři) administrativní panel, který si mají nasadit v rámci vlastní serverové infrastruktury. To od nich vyžaduje určitou míru technických dovedností, a zároveň jim to poskytuje přímou kontrolu nad daty obětí a distribucí malwaru.
O tom, jakou metodou budou malware šířit, rozhodují jednotliví partneři. Data společnosti ESET konzistentně poukazují na to, že oba škodlivé kódy byly distribuovány přes široký výběr kanálů.
Nejčastějšími způsoby šíření byly falešné aktualizace softwaru, instalátory cracknutých programů a škodlivé loadery třetích stran.
Provozovatelé infostealeru Stealc zvolili k partnerům přívětivější přístup a v rámci předplatného nabízeli neomezené generování verzí malwaru. To snižovalo provozní náklady spojené s obměnou infrastruktury a usnadňovalo partnerům vytváření nových vzorků podle potřeby.
Infostealer se zaměřuje na širokou škálu zdrojů dat, včetně přihlašovacích údajů uložených ve webových prohlížečích, e-mailových klientech, FTP klientech, herních platformách, souborů kryptoměnových peněženek a rozšíření prohlížečů.
Stealc se prodává ve formě předplatného, přičemž nejlevnější varianta stojí 1000 USD na šest měsíců.
Botnet Amadey fungoval tak, že si partneři zakoupili licenci a následně platili další poplatek při každém vytvoření nové verze malwaru (např. při přechodu na nový kontrolní server). Jeho provozovatelé tedy neposkytovali partnerům nástroj pro tvorbu nových verzí malwaru.
Vzorky škodlivého kódu byly na vyžádání kompilovány zvlášť pro každého partnera. Služba nabízí tři moduly pro další exfiltraci dat a získání přístupu: modul pro sledování schránky (clipboardu), modul pro krádež přihlašovacích údajů a modul vzdáleného přístupu.
Cena služby činí 600 USD v bitcoinech za jednu licenci, přičemž za každou novou verzi malwaru se účtuje dalších 50 USD.
Článek ESET software spol. s r. o. ze dne středa 1. července 2026
Český ESET se podílel na zásahu proti botnetu Amadey a infostealeru Stealc
Jak přemýšlíme nad volbou operačního systému svého telefonu v kontextu kybernetické bezpečnosti
Finančními výsledky české pobočky ESET za rok 2025
ESET vstupuje do strategického partnerství s NATO
ESET investuje do inovací v oblasti AI
Modulární řešení ESET PRIVATE pro velké firmy, vládní sektor a kritickou infrastrukturu
Nové funkce v platformě ESET PROTECT pro bezpečné firemní používání AI nástrojů
Malware NGate zneužívá NFC při kyberútocích v Česku stále častější
eCrime reporty o kybernetické kriminalitě
Akční nabídka kybernetické ochrany ESET pro domácnosti a koncové uživatele
Platforma ESET PROTECT minimalizuje rizika kybernetických hrozeb
Jak Češi využívají komunikační platformy
Malware PromptSpy pro platformu Android zneužívá generativní AI
Pražská výzkumná pobočka ESET slaví 15 let
ESET komentuje zpřístupnění dat uživatelů sociální sítě Moltbook pro AI agenty
Polský energetický sektor byl cílem ruských hackerů
Ransomwarová scéna ve světě a Česku za rok 2025
Předpověď kybernetických hrozeb pro rok 2026
Chytré telefony na svátky odkládáme a preferujeme fyzické dárky
Roste obliba online nákupů ze zemí EU a Asie
Analýza phishingových útoků na Českou republiku
Výrobci dronů v Evropě čelí útokům severokorejských hackerů
Malware se maskuje za aplikaci ČNB, útočníci pak pomocí NFC technologie vybírají peníze z bankomatů
ESET posiluje nabídku řešení pro domácnosti
Windows 10 aktuálně využívá třetina českých uživatelů
APT skupiny s napojením na ruskou FSB zaútočili na vysoce postavené cíle na Ukrajině
Ransomware PromptLock řídí umělá inteligence
Tři roky ochrany v online světě za cenu dvou let pro domácnosti i firmy
ESET se zapojuje do programu CIEP v boji proti kyberkriminalitě
ESET posiluje investice do výzkumu a vývoje
Chytrý telefon je přirozenou součástí letního cestování
Jan Urbík - nový Country manažer ESET v České republice
Růst zájmu o služby spravované detekce a reakce ESET MDR
Jak se vyhnout kybernetickým rizikům během letních festivalů
ESET věnuje tři miliony eur na projekt lorAI - Low Resource AI
Phishingové útoky jsou nedílnou součástí kybernetických rizik
Zpráva o aktivitách skupin útočníků zaměřených na pokročilé přetrvávající hrozby
Pozor na kybernetická rizika při nákupu kryptoměn
Změny v ekosystému ransomwarových gangů
Platforma ESET PROTECT posiluje kybernetickou bezpečnost firem
Útočná skupina DeceptiveDevelopment cílí na vývojáře softwaru
Jak bezpečně stahovat a spravovat aplikace v chytrém mobilním telefonu
Michal Červenka - nový marketingový ředitel české pobočky ESET
ESET Threat Report H2 2024 analyzuje globální vývoj kybernetických hrozeb
Roste obliba nákupů prostřednictvím chytrého telefonu a mimo klasické české e-shopy
ESET objevil zranitelnosti v produktech Mozilla a Windows
Češi podceňují bezpečnost při zálohování svých dat