“终局行动”重创网络犯罪供应链：SocGholish、Amadey 与 StealC 基础设施被瓦解

2026年6月15日至19日，代号为“终局行动”（Operation Endgame）的国际联合执法行动再次取得重大突破，成功瓦解了支撑 SocGholish 恶意软件加载器、Amadey 僵尸网络以及 StealC 信息窃取器的犯罪基础设施。此次行动的目标直指勒索软件和数据盗窃攻击的“早期供应链”，旨在从源头上遏制大规模网络犯罪。

关键行动成果

• 查封326台服务器，并拿下142个域名 。德国联邦刑警局（BKA）的报告也给出了“超过320台服务器和140多个域名”的相近数据，两者在取整范围内高度一致。
• 清理了近15,000个被植入恶意代码的网站，这主要针对SocGholish的分发网络。
• 识别并冻结了价值超过4100万欧元（约合4700万美元）的犯罪加密货币 。
• 追回了约2700万条被盗的登录凭证，这些数据来自超过38.5万名受害者。
• 仅在2026年5月上旬，就有超过14万台计算机被确认与Amadey和StealC恶意软件有关联。

针对的网络犯罪生态

• SocGholish：一个广泛使用的恶意软件加载器。它通过向被入侵的网站注入恶意JavaScript代码传播，是勒索软件攻击团伙获取初始访问权限的“中间人” 。
• Amadey：一个具备加载器功能的僵尸网络，主要用于投放StealC等第二阶段恶意载荷。
• StealC：一种“恶意软件即服务”（MaaS）模式的信息窃取器，专门用于窃取受害者的凭证和敏感数据。

执法与私营部门合作伙伴

• 执法机构：来自加拿大、丹麦、德国、荷兰、英国、美国、欧洲刑警组织（Europol）和欧洲司法组织（Eurojust）的执法力量共同参与了此次行动。
• 私营部门合作伙伴：微软（Microsoft）、比特梵德（Bitdefender）、IBM X-Force、Proofpoint、Infoblox、Shadowserver基金会、Orange Cyberdefense、Bitsight和ESET等网络安全公司提供了关键的技术支持。

战略意义

“终局行动”标志着全球执法策略的重大转变：不再仅仅追捕某个具体的勒索软件团伙，而是致力于瓦解整个网络犯罪的“供应链”——即那些为勒索攻击提供“弹药”的加载器、信息窃取器和初始访问掮客。通过对SocGholish、Amadey和StealC的同时打击，执法机构切断了多个勒索软件分支依赖的投放机制，摧毁了“虚拟感染链”，从而在勒索软件被部署之前就阻止了大量潜在受害者的感染。欧洲刑警组织将此描述为“对网络犯罪网络的里程碑式打击”，严重削弱了整个犯罪价值链。

数据一致性说明

在不同报道中，关于服务器和域名的具体数字略有出入，例如BKA的新闻稿使用的是“超过320台服务器和140多个域名”，而其他来源则精确报告为326台服务器和142个域名。这些差异属于常规的取整范围，并不影响行动的整体规模与重要性。