Operatie Endgame: politie ontmantelt criminele cyberinfrastructuur van SocGholish, Amadey en StealC

Tussen 15 en 19 juni 2026 heeft een internationale politieactie een flinke klap uitgedeeld aan de cybercriminaliteit. Onder de naam Operatie Endgame werd de infrastructuur ontmanteld achter de malware SocGholish, Amadey en StealC. Deze drie programma's spelen een cruciale rol in de 'bevoorradingsketen' van ransomware-aanvallen: ze geven criminelen de eerste toegang tot computersystemen, stelen inloggegevens en maken verdere aanvallen mogelijk .

Wat is er precies gebeurd?

Het resultaat van de operatie is indrukwekkend. In een gezamenlijke actie van politiediensten uit Canada, Denemarken, Duitsland, Nederland, het Verenigd Koninkrijk en de Verenigde Staten, samen met Europol en Eurojust, zijn de volgende zaken bereikt :

• 326 servers zijn uit de lucht gehaald en 142 domeinen zijn in beslag genomen .
• Bijna 15.000 websites zijn gezuiverd van de SocGholish-malware .
• Er is ruim 41 miljoen euro (ongeveer 47 miljoen dollar) aan criminele cryptovaluta geïdentificeerd, getagd en bevroren .
• 27 miljoen gestolen inloggegevens van meer dan 385.000 slachtoffers zijn teruggevonden .
• Alleen al in de eerste twee weken van mei 2026 waren meer dan 140.000 computers via Amadey en StealC besmet geraakt .

Welke malware werd aangepakt?

• SocGholish: een veelgebruikte 'loader'. Het injecteert kwaadaardige JavaScript-code in gecompromitteerde websites en fungeert zo als een toegangspoort voor ransomwaregroepen .
• Amadey: een botnet en loader die onder andere StealC op geïnfecteerde computers installeert .
• StealC: een infostealer die als dienst wordt aangeboden aan andere criminelen en gericht is op het stelen van inloggegevens en andere gevoelige data .

De operatie is een nieuw wapen in de strijd tegen cybercriminaliteit. In plaats van alleen achter individuele ransomwarebendes aan te gaan, richt Operatie Endgame zich op de hele criminele bevoorradingsketen. Door de infrastructuur van deze loaders, infostealers en initiële-toegang-brokers te ontmantelen, hebben de autoriteiten een essentiële schakel in het verdienmodel van ransomware-aanvallen doorbroken. Europol spreekt van een "grote klap voor criminele netwerken" die de hele criminele waardeketen verzwakt .

Kleine kanttekening bij de cijfers

Het Bundeskriminalamt (BKA) rapporteert in een eigen persbericht 'iets meer dan 320 servers en meer dan 140 domeinen' . Andere bronnen, zoals Europol, geven de exacte aantallen van 326 servers en 142 domeinen . Dit verschil is te verklaren door afronding en doet niets af aan de enorme omvang van de actie.