Ratusan Server Malware Amadey dan StealC Berhasil Disita

Operasi besar-besaran yang melibatkan aparat penegak hukum internasional dan perusahaan keamanan siber berhasil menghantam salah satu ekosistem malware terbesar di dunia. Dalam operasi tersebut, jutaan kredensial hasil pencurian berhasil diamankan, ratusan server dimatikan, dan puluhan juta dolar aset kripto hasil kejahatan dibekukan.

Upaya pemberantasan kejahatan siber kembali mencatatkan hasil penting. Europol bersama aparat penegak hukum dari berbagai negara, didukung perusahaan keamanan siber seperti Bitdefender, Bitsight, ESET, dan Microsoft, berhasil melumpuhkan infrastruktur yang selama ini menjadi tulang punggung penyebaran malware Amadey dan StealC.

Operasi internasional tersebut menjadi salah satu langkah paling signifikan dalam memutus rantai distribusi malware yang selama bertahun-tahun dimanfaatkan kelompok kriminal siber untuk melancarkan pencurian data, penipuan finansial, hingga serangan ransomware terhadap perusahaan dan lembaga penting.

Menurut Europol, sasaran utama operasi ini bukan sekadar menangkap pelaku, tetapi menghancurkan "jalur produksi" yang memungkinkan para penjahat siber menjalankan bisnis kejahatan digital secara masif melalui model Cybercrime-as-a-Service.

Keberhasilan tersebut diraih hanya beberapa hari setelah aparat dari Belanda, Kanada, Jerman, dan Amerika Serikat juga berhasil membongkar infrastruktur malware SocGholish serta membersihkan hampir 15.000 situs WordPress yang telah diretas dan dimanfaatkan sebagai media penyebaran malware.

Aset Kripto Rp770 Miliar dan 27 Juta Kredensial Berhasil Diamankan

Operasi yang berlangsung selama dua minggu itu menghasilkan sejumlah pencapaian besar. Tim gabungan berhasil mengidentifikasi sekaligus membekukan aset mata uang kripto hasil aktivitas kriminal dengan nilai lebih dari US$47 juta atau sekitar Rp770 miliar.

Selain itu, aparat juga berhasil memulihkan sekitar 27 juta kredensial login yang sebelumnya dicuri dari berbagai korban di seluruh dunia. Kredensial tersebut meliputi kombinasi nama pengguna dan kata sandi yang berpotensi digunakan kembali untuk mengambil alih akun korban.

Tidak hanya itu, infrastruktur penyebaran malware juga mengalami pukulan telak setelah aparat membongkar 326 server serta menutup 142 domain yang selama ini digunakan sebagai pusat pengendalian jaringan malware.

Chief Security Strategist Bitdefender, Alex Cosoi, mengatakan bahwa keberhasilan operasi ini menunjukkan pentingnya kolaborasi antara pemerintah dan sektor swasta dalam menghadapi ancaman siber modern.

Menurutnya, para pelaku kejahatan siber kini membangun jaringan yang tersebar di berbagai negara sehingga penanganannya tidak mungkin dilakukan oleh satu lembaga saja. Karena itu, kerja sama lintas negara menjadi kunci utama dalam menghancurkan ekosistem malware berskala global.

Malware Kini Dijual Layaknya Layanan Berlangganan

Salah satu alasan mengapa Amadey dan StealC berkembang begitu pesat adalah karena keduanya dipasarkan menggunakan model Malware-as-a-Service (MaaS).

Konsep ini mirip dengan layanan perangkat lunak berbasis langganan. Pengembang malware menyediakan "produk", sedangkan para pelaku kejahatan cukup menyewa layanan tersebut tanpa harus memiliki kemampuan membuat malware sendiri.

Model bisnis ini membuat siapa pun dapat meluncurkan serangan siber hanya dengan membayar biaya langganan. Melalui layanan tersebut, pelanggan dapat mengirim malware tambahan ke komputer korban, mencuri informasi sensitif, hingga menjalankan berbagai bentuk serangan secara otomatis.

Karena hambatan teknis menjadi jauh lebih rendah, model MaaS telah menjadi salah satu faktor utama meningkatnya jumlah serangan siber dalam beberapa tahun terakhir.

Amadey dan SocGholish Berperan Sebagai Loader

Meski sering disebut bersama, Amadey dan SocGholish sebenarnya memiliki fungsi yang sedikit berbeda. Keduanya dikenal sebagai loader, yaitu malware tahap awal yang bertugas membuka pintu masuk ke perangkat korban. Setelah berhasil masuk, loader akan mengunduh malware lain yang memiliki kemampuan lebih berbahaya.

SocGholish biasanya menyebar melalui situs WordPress yang telah diretas. Ketika pengguna mengunjungi situs tersebut, mereka diarahkan untuk mengunduh pembaruan palsu yang sebenarnya merupakan malware.

Sementara itu, Amadey lebih banyak didistribusikan melalui email phishing yang mengelabui korban agar membuka lampiran atau menjalankan file berbahaya. Selain menggunakan metode tersebut, Amadey juga diketahui disebarkan melalui malware loader lain seperti Emmenhtal dan SmokeLoader.

Amadey, Malware Veteran yang Terus Berkembang

Amadey bukan malware baru. Backdoor modular yang dikembangkan menggunakan bahasa pemrograman C++ ini telah aktif sejak Oktober 2018. Malware tersebut dipasarkan oleh pelaku ancaman yang dikenal dengan nama InCrease.

Harga sewanya relatif murah untuk ukuran dunia kejahatan siber, yakni sekitar US$600 untuk satu lisensi. Pengguna juga dikenakan biaya tambahan sebesar US$50 setiap kali ingin membuat versi malware baru atau melakukan rebuild.

Versi terbaru Amadey saat ini adalah 5.87, yang menunjukkan bahwa malware tersebut masih terus dikembangkan oleh operatornya.

Kemampuan Amadey pun tergolong lengkap. Malware ini mampu mengidentifikasi spesifikasi komputer korban, mengunduh berbagai jenis file berbahaya, menjalankan perintah melalui Command Prompt, mengambil tangkapan layar, membuka koneksi proxy, mengaktifkan Remote Desktop Protocol (RDP), hingga mencuri kredensial dan isi clipboard.

Dengan kemampuan tersebut, Amadey sering digunakan sebagai tahap awal sebelum malware lain, termasuk ransomware, dijalankan di perangkat korban.

Aktivitas Amadey Pernah Meningkat Tajam

Data dari perusahaan keamanan Jepang, Mitsui Bussan Secure Directions, menunjukkan bahwa penggunaan Amadey mengalami lonjakan signifikan sejak 2023. Sebelumnya, jumlah server command-and-control (C2) aktif berkisar antara dua hingga 18 server setiap hari.

Namun sepanjang Januari hingga awal Desember 2023, jumlah tersebut meningkat menjadi lima hingga 30 server aktif per hari. Peningkatan ini menunjukkan bahwa Amadey mulai diadopsi secara luas oleh kelompok kriminal siber.

Walaupun sempat mengalami penurunan aktivitas pada 2024, jumlah malware yang disebarkan melalui Amadey tetap meningkat secara drastis dibandingkan tahun-tahun sebelumnya. Tercatat hanya terdapat 66 sampel malware pada 2019. Angka tersebut melonjak menjadi 260 sampel pada 2020, kemudian meningkat menjadi 1.231 pada 2021 dan 3.500 pada 2022.

Pada 2023 jumlahnya mencapai 8.360 sampel, sedikit menurun menjadi 7.619 pada 2024, lalu kembali melonjak hingga 11.635 sampel sepanjang 2025. Sementara hingga pertengahan 2026, tercatat sekitar 1.837 payload telah didistribusikan menggunakan Amadey.

StealC Fokus Mencuri Informasi Penting

Berbeda dengan Amadey yang berfungsi sebagai loader, StealC merupakan malware yang dirancang khusus untuk mencuri data. Malware ini pertama kali muncul pada Januari 2023 dan dijual oleh operator dengan nama samaran plymouth.

Harga sewanya sekitar US$300 per bulan atau US$1.000 untuk enam bulan, sehingga relatif mudah dijangkau oleh kelompok kriminal siber. Versi terbaru StealC saat ini adalah 2.2.1, dan malware tersebut masih aktif dikembangkan. Negara yang tercatat memiliki jumlah infeksi tertinggi antara lain Amerika Serikat, Polandia, dan Italia.

StealC mampu mencuri berbagai informasi sensitif seperti username, password, cookie browser, data autofill, riwayat penelusuran, informasi kartu kredit, hingga data dari ekstensi browser.

Tidak hanya itu, malware ini juga dapat mengambil data dari berbagai aplikasi populer seperti Discord, Microsoft Outlook, Steam, Telegram, FileZilla, dan Foxmail. Kemampuannya bahkan tidak berhenti sebagai pencuri data. StealC juga dapat berfungsi sebagai loader tahap kedua yang mengunduh malware tambahan berdasarkan perintah dari server pengendalinya.

Memiliki Mekanisme Menghindari Negara Tertentu

Salah satu karakteristik unik StealC adalah kemampuannya memeriksa bahasa sistem operasi korban. Jika malware mendeteksi komputer menggunakan locale Rusia, Ukraina, Belarus, Kazakhstan, atau Uzbekistan, maka StealC akan menghentikan prosesnya sendiri.

Amadey memiliki mekanisme serupa dengan menonaktifkan fitur pencurian kredensial ketika dijalankan pada komputer yang berasal dari wilayah tersebut. Praktik ini cukup umum ditemukan pada malware yang diduga dikembangkan oleh pelaku dari kawasan Eropa Timur, sebagai upaya menghindari penegakan hukum di negara asal mereka.

Peneliti Menemukan Celah pada Panel Kendali StealC

Awal 2026, CyberArk menemukan kerentanan Cross-Site Scripting (XSS) pada panel administrasi StealC. Melalui celah tersebut, peneliti berhasil memperoleh informasi mengenai operasi internal malware tersebut, termasuk salah satu pelanggan bernama YouTubeTA.

Kelompok tersebut diketahui memanfaatkan YouTube untuk mempromosikan versi bajakan Adobe Photoshop dan Adobe After Effects yang sebenarnya telah disusupi malware StealC.

Di sisi lain, IBM X-Force dan Proofpoint juga menemukan kerentanan lain berupa directory traversal, yang memungkinkan penyerang mengunggah web shell ke server command-and-control StealC. Walaupun pengembang StealC telah menutup celah tersebut pada Februari 2026, kerentanan itu diduga sempat dimanfaatkan oleh salah satu afiliasi untuk mencuri data milik afiliasi lainnya.

Microsoft: Lebih dari 140.000 Komputer Terinfeksi

Microsoft mengungkapkan bahwa Amadey dan StealC ternyata menggunakan infrastruktur yang saling berkaitan. Dalam dua minggu pertama Mei 2026 saja, kedua malware tersebut dikaitkan dengan lebih dari 140.000 komputer yang terinfeksi di berbagai negara.

Perusahaan teknologi tersebut juga berhasil mengidentifikasi lebih dari 18.000 perangkat korban dan memutus akses pelaku terhadap perangkat-perangkat tersebut.

Selain itu, Microsoft turut membantu menutup sekitar 200 domain serta alamat IP command-and-control yang digunakan jaringan malware melalui proses hukum, penyitaan domain, registrasi ulang, dan kerja sama dengan penyedia layanan internet.

Operation Endgame Terus Menekan Kejahatan Siber

Seluruh operasi ini merupakan bagian dari Operation Endgame, sebuah operasi internasional yang berlangsung pada 15–19 Juni 2026. Operasi tersebut melibatkan aparat penegak hukum dan otoritas peradilan dari Belgia, Kanada, Denmark, Prancis, Jerman, Belanda, Inggris, dan Amerika Serikat.

Menurut Eurojust, Operation Endgame difokuskan untuk menghancurkan malware tahap awal atau initial access malware, yakni malware yang menjadi pintu masuk berbagai serangan siber.

Dengan memutus rantai infeksi sejak tahap awal, aparat tidak hanya menghentikan penyebaran malware, tetapi juga menghambat aktivitas ransomware, pencurian data, penipuan digital, hingga perdagangan data curian yang selama ini berkembang melalui ekosistem Cybercrime-as-a-Service.

Keberhasilan operasi ini menunjukkan bahwa kolaborasi antara lembaga penegak hukum, perusahaan keamanan siber, dan penyedia layanan teknologi menjadi senjata paling efektif untuk menghadapi ancaman siber global yang terus berkembang. Meski demikian, para ahli mengingatkan bahwa munculnya model Malware-as-a-Service membuat kelompok kriminal dapat dengan cepat membangun kembali infrastrukturnya, sehingga kerja sama internasional dan peningkatan kewaspadaan pengguna tetap menjadi faktor penting dalam menjaga keamanan dunia digital.