No dia 24 de junho de 2026, a Microsoft, em colaboração com a Europol e parceiros da indústria de segurança, anunciou a derrubada de mais de 200 servidores de comando e controle ligados a duas das ferramentas de cibercrime mais ativas do momento: o Amadey e o StealC. A ação, conduzida pela Digital Crimes Unit (DCU) da Microsoft, não foi uma resposta a um único ataque. Foi uma intervenção cirúrgica na cadeia de suprimentos do cibercrime — a infraestrutura que permite que criminosos de todo o mundo operem ataques em escala industrial contra empresas de qualquer porte e setor. A operação é importante não apenas pelo que derrubou, mas pelo que revela: o cibercrime moderno não é mais uma atividade de hackers solitários. É uma indústria com divisão de funções, plataformas como serviço, afiliados, painéis de gestão e modelos de receita — e atacar essa estrutura exige a mesma coordenação e sofisticação que ela possui. Para as empresas brasileiras, o dado mais importante não está nos servidores derrubados: está na pergunta que essa operação coloca na mesa. Sua empresa conseguiria detectar hoje o uso indevido de uma conta legítima do Microsoft 365? A resposta para a maioria das organizações de médio porte é honestamente: não sei.
O que aconteceu: a operação em detalhes
A coordenação global
Em 24 de junho de 2026, a Microsoft anunciou formalmente, via comunicado oficial do Source LATAM, que a Digital Crimes Unit facilitou a derrubada, suspensão e bloqueio de domínios que formavam a espinha dorsal da infraestrutura do StealC e do Amadey. A operação envolveu colaboração com a Europol e parceiros da indústria em múltiplos países. Conforme o blog oficial do Microsoft Security, a ação foi coordenada por equipes da Microsoft Threat Intelligence, do Microsoft Defender Security Research Team e da Digital Crimes Unit — três grupos que raramente operam juntos em uma única operação, o que indica a escala e a prioridade que a Microsoft atribuiu a essa infraestrutura específica.
O que foi derrubado e o que os números revelam
Segundo a cobertura do Olhar Digital baseada no anúncio oficial, mais de 200 servidores e sistemas de comando e controle foram interrompidos. Os números de impacto divulgados pela Microsoft ajudam a dimensionar a escala do que estava operando:
- Mais de 140 mil computadores foram associados às ameaças Amadey e StealC nas primeiras duas semanas de maio de 2026 — antes da ação de derrubada
- Mais de 18 mil computadores de vítimas foram identificados e tiveram provedores de telecomunicações notificados para colaborar na proteção dos afetados
- Os servidores derrubados formavam a infraestrutura de C2 (comando e controle) — os sistemas que permitem que os operadores dos malwares recebam dados roubados, enviem instruções para dispositivos infectados e atualizem os payloads em campo
Por que essa operação é diferente das anteriores
A investigação que levou à operação revelou algo que vai além do técnico: ferramentas desenvolvidas por grupos criminosos diferentes compartilhavam infraestrutura. O Amadey e o StealC, embora desenvolvidos independentemente e vendidos como serviços separados, operavam sobre os mesmos servidores C2 — sugerindo um nível de integração entre operadores do ecossistema criminoso que vai além do que análises anteriores indicavam.
Um segundo elemento diferencia esta operação: o papel da inteligência artificial. A Microsoft relatou que recursos de IA, incluindo o Copilot, ajudaram a acelerar a análise técnica e a validação de conexões entre os malwares — permitindo que investigadores mapeassem relacionamentos entre infraestruturas distintas em velocidade que seria inviável com análise humana manual. Como destaca a análise da Cybersecurity Dive, a Microsoft e a Europol lideraram um takedown internacional de malware infostealer que estabelece um precedente de uso de IA como ferramenta de inteligência ofensiva contra infraestrutura criminosa.
Entendendo o modelo: como funciona a linha de montagem do cibercrime
Malware como Serviço: o SaaS do cibercrime
Para entender por que a derrubada do Amadey e do StealC importa, é necessário entender o modelo que eles sustentam. O Malware como Serviço (MaaS) é uma estrutura em que grupos criminosos desenvolvem softwares maliciosos e os disponibilizam para outros criminosos, geralmente sob pagamento de assinatura mensal ou participação percentual nos dados ou valores roubados. O comprador acessa um painel de controle, configura sua campanha, seleciona os alvos e recebe os dados extraídos — sem precisar escrever uma linha de código.
Como detalha a análise da PwC Portugal sobre infostealers e o modelo MaaS, esse modelo reduziu drasticamente a barreira de entrada para o cibercrime. Grupos que antes precisavam de engenheiros especializados para desenvolver suas próprias ferramentas agora apenas contratam o serviço — da mesma forma que uma empresa legítima contrata uma plataforma de CRM ou de e-mail marketing. O resultado é uma aceleração exponencial na escala e na frequência dos ataques, com cada vez mais atores conseguindo lançar campanhas sofisticadas com investimento mínimo em infraestrutura própria.
O que é o Amadey — e por que ele importa
O Amadey é um loader de malware — sua função não é roubar dados diretamente, mas preparar o terreno. Quando infecta um dispositivo, o Amadey estabelece persistência, realiza reconhecimento do ambiente e, então, baixa e executa os payloads de segunda etapa escolhidos pelo operador: outros malwares, ransomware, infostealers como o StealC, ou qualquer combinação. Na arquitetura do cibercrime moderno, o loader é a “entrega” — ele garante que o pacote chegue ao destino e seja instalado. Como descrito pela HSC Labs em sua análise sobre MaaS, essa divisão de funções entre loader e payload é característica da maturidade operacional que o cibercrime atingiu.
O que é o StealC — e o que ele rouba
O StealC é um infostealer vendido como serviço desde pelo menos 2023, com foco específico na extração de dados sensíveis do dispositivo infectado. Sua lista de alvos inclui credenciais salvas em navegadores (usuário e senha de qualquer site onde a vítima está logada), cookies de sessão autenticados, tokens de acesso OAuth, carteiras de criptomoedas, capturas de tela, arquivos selecionados e qualquer outro dado armazenado localmente que tenha valor comercial nos mercados criminosos.
O dado que transforma o StealC em ameaça corporativa direta: os cookies de sessão roubados frequentemente incluem sessões autenticadas do Microsoft 365, Teams, SharePoint, OneDrive, webmail corporativo e sistemas de VPN. Isso significa que o atacante não precisa da senha — ele usa o cookie para assumir uma sessão já autenticada, incluindo uma que passou pelo MFA. Para entender como esses ataques funcionam na prática contra o Microsoft 365, confira nosso artigo sobre ataques à identidade que bypassam MFA.
A cadeia completa do ataque
A sequência de um ataque típico que usa essa infraestrutura — da infecção à monetização — revela por que ele é tão difícil de detectar e por que o impacto pode chegar a uma empresa mesmo quando a infecção começou fora do ambiente corporativo:
- Vetor inicial — e-mail de phishing, site comprometido, software pirata, anúncio malicioso ou arquivo em plataformas de compartilhamento. O colaborador clica ou baixa sem perceber
- Infecção e persistência (loader Amadey) — o loader é instalado no dispositivo, estabelece persistência (sobrevive a reinicializações), realiza reconhecimento do ambiente e se comunica com o C2 para receber instruções
- Execução do payload (infostealer StealC) — o operador instrui o Amadey a baixar e executar o StealC, que inicia a extração sistemática de credenciais, cookies e tokens do dispositivo
- Exfiltração para o C2 — os dados roubados são enviados para os servidores de comando e controle (os mesmos 200+ que foram derrubados na operação) e ficam disponíveis no painel do operador
- Venda ou uso direto — as credenciais e tokens são vendidos em mercados criminosos ou usados diretamente. Credenciais de e-mail corporativo com acesso ao Microsoft 365 têm valor de mercado específico e documentado
- Monetização — o comprador usa as credenciais para acessar o ambiente corporativo, move-se lateralmente, e monetiza via ransomware, exfiltração de dados para extorsão, fraude financeira (BEC) ou revenda de acesso para outros grupos
O ponto crítico desta cadeia: a empresa pode sofrer o impacto de um ataque que começou em um dispositivo pessoal de um colaborador, sem que nenhum endpoint corporativo gerenciado tenha sido infectado. O perímetro da segurança empresarial, nesse modelo, é a identidade — não o firewall.
O que esta operação revela sobre o futuro do cibercrime
O crime digital é uma indústria organizada — com cadeia de suprimentos
A operação contra Amadey e StealC é significativa não porque acabou com o cibercrime — nenhuma operação faz isso — mas porque deixou visível o nível de organização que os grupos criminosos atingiram. Há divisão clara de funções: quem desenvolve o loader, quem desenvolve o infostealer, quem opera as campanhas de distribuição, quem gerencia os painéis de C2, quem compra os dados extraídos, quem usa as credenciais para acessar ambientes corporativos e quem executa o ransomware ou a fraude final. Cada elo da cadeia é especializado, pode ser terceirizado e opera de forma relativamente independente dos demais.
Para gestores de TI e decisores de negócio, a implicação prática é direta: derrubar um elo da cadeia — um servidor C2, um painel de distribuição, uma infraestrutura de afiliados — não elimina o risco. Os grupos criminosos têm capacidade de reconstrução. As credenciais já roubadas antes da derrubada continuam em circulação nos mercados criminosos. E novos serviços substituem os derrubados em semanas ou meses. A resposta defensiva não pode depender de takedowns — precisa operar de forma contínua, com foco em redução de superfície de ataque, detecção precoce e resposta rápida.
A escala que torna isso relevante para empresas médias
140 mil computadores comprometidos em duas semanas de maio de 2026 não é uma operação direcionada a grandes corporações. É uma campanha em escala de massa que atingiu qualquer dispositivo vulnerável — incluindo o notebook doméstico de um gerente financeiro de uma empresa com 200 colaboradores, cujas credenciais do Microsoft 365 estavam salvas no navegador Chrome. A escala do MaaS significa que não existe empresa “pequena demais para ser atacada”. Existe empresa com exposição de credenciais que ainda não foi explorada.
IA nos dois lados: acelerador de defesa e de ataque
A operação contra Amadey e StealC é o primeiro caso documentado e público de uso de IA generativa (Copilot) pela própria Microsoft para acelerar a análise de ameaças em uma operação de takedown ativa. Isso não é apenas uma nota de rodapé técnica — é um sinal de como a defesa está evoluindo para acompanhar a escala do ataque. Ao mesmo tempo, o artigo do Microsoft Security Blog reconhece que a IA também pode ser explorada pelo lado ofensivo: para análise de vulnerabilidades em velocidade maior, personalização de engenharia social em escala e automação de campanhas de phishing com taxas de clique significativamente mais altas. A corrida entre IA defensiva e IA ofensiva está em curso — e a maturidade operacional de segurança de cada empresa determina em qual lado ela está.
O que muda para as empresas: identidade é o novo perímetro
Segurança perimetral não captura ataques baseados em credenciais legítimas
A cadeia de ataque descrita acima tem uma característica que frustra a maioria das defesas tradicionais: quando o atacante usa credenciais ou tokens legítimos para acessar o ambiente corporativo, o tráfego de rede é indistinguível do tráfego legítimo. O firewall não bloqueia porque a conexão vai para domínios legítimos da Microsoft. O antivírus no endpoint corporativo não dispara porque nenhum malware está sendo executado ali. O filtro de e-mail não intercepta porque o acesso é direto via navegador ou aplicativo.
Para empresas com ataques com contas legítimas no Microsoft 365 — que cobrem em detalhe como grupos criminosos e de espionagem usam credenciais reais para comprometer ambientes corporativos — o padrão é consistente: entrada por credencial legítima, movimento lateral silencioso, persistência estabelecida antes de qualquer ação visível. A janela entre o comprometimento inicial e a detecção, em ambientes sem monitoramento comportamental, é de semanas a meses.
Por que MFA sozinho não é suficiente
Uma pergunta frequente de gestores que conhecem o problema: “mas temos MFA habilitado para todos. Isso não resolve?” A resposta é parcial — e a parte que não resolve é exatamente a que infostealers exploram. O MFA tradicional (SMS, TOTP, notificação push) protege contra o uso direto de senha roubada. Não protege contra sequestro de sessão — quando o infostealer rouba o cookie de uma sessão que já foi autenticada com MFA, o atacante usa aquele cookie para assumir a sessão sem passar pelo MFA novamente. Também não protege contra técnicas de AiTM (Adversary-in-the-Middle) e abuso de fluxos OAuth como o device code phishing — onde o usuário completa o MFA, mas autoriza inadvertidamente um aplicativo controlado pelo atacante.
Para uma análise completa de como proteger o Microsoft 365 contra phishing e malware em 2026, incluindo as configurações específicas que reduzem a exposição a esse tipo de ataque, confira o guia técnico detalhado que desenvolvemos para gestores de TI e profissionais de segurança.
Tempo de resposta como vantagem competitiva defensiva
A infraestrutura derrubada pode ser reconstituída. As credenciais já roubadas e vendidas antes da operação continuam em circulação. Grupos criminosos com a sofisticação para construir e operar o Amadey e o StealC têm também a capacidade de migrar para novos domínios e servidores em semanas. Isso significa que a segurança defensiva eficaz não pode aguardar takedowns externos para reagir — precisa operar com velocidade própria, detectando o uso indevido de credenciais antes que o atacante complete seus objetivos.
O dado mais relevante aqui é o tempo médio: em ambientes sem monitoramento comportamental contínuo, a janela entre o comprometimento inicial (uso das credenciais roubadas) e a detecção pode ser de semanas ou meses. Em ambientes com MDR ativo e alertas de comportamento anômalo de identidade, essa janela pode ser reduzida a horas ou minutos. A diferença entre os dois cenários é, frequentemente, a diferença entre um incidente contido e um incidente com impacto operacional e regulatório significativo.
Visibilidade integrada: sem ela, o incidente já aconteceu quando você descobre
Um ambiente Microsoft 365 sem monitoramento comportamental ativo gera logs — mas logs não monitorados são o equivalente digital de câmeras de segurança sem alguém assistindo. A autenticação do colaborador comprometido de uma localização geográfica incomum às 3h da manhã, o acesso em massa aos e-mails via API, a criação de uma regra de encaminhamento para um endereço externo — todos esses eventos geram registros nos logs do Microsoft Entra e do Microsoft Defender. Mas sem correlação automática e alertas configurados, ninguém os vê até que o dano esteja feito.
O artigo sobre segurança no Microsoft 365 com Defender detalha como configurar o Microsoft Defender para Office 365 e o Defender for Identity para gerar alertas acionáveis sobre comportamentos anômalos — transformando logs em visibilidade real.
Framework prático: o que avaliar no seu ambiente
A operação contra Amadey e StealC é uma oportunidade concreta para gestores de TI e CISOs revisarem a postura de segurança da organização contra o vetor específico que essa operação revelou: credenciais e tokens roubados usados para acesso a ambientes cloud e Microsoft 365. Cinco pilares merecem avaliação imediata:
Identidade — o perímetro que realmente importa
Verificar: percentual de usuários com MFA obrigatório (não apenas habilitado), tipo de MFA em uso (TOTP é insuficiente contra sequestro de sessão; FIDO2 e passkeys são resistentes), políticas de Acesso Condicional ativas com avaliação de risco em tempo real, inventário de aplicativos OAuth com permissões amplas sobre o tenant, e monitoramento ativo de logins anômalos via Microsoft Entra Identity Protection. Um diagnóstico consultivo do Microsoft 365 cobre exatamente essas dimensões com análise técnica do estado atual do tenant.
E-mail e colaboração — o vetor de entrada mais frequente
Infostealers chegam frequentemente via e-mail de phishing. A configuração correta de SPF, DKIM e DMARC (com política de enforcement) reduz o risco de spoofing do domínio corporativo. O Microsoft Defender para Office 365 com Safe Links e Safe Attachments ativos — não apenas contratado, mas com políticas configuradas — adiciona uma camada de inspeção que vai além do filtro de spam. A revisão de regras de encaminhamento de e-mail para endereços externos é uma das primeiras verificações após suspeita de comprometimento.
Endpoint — onde a cadeia começa
A infecção por loader ocorre no endpoint — seja corporativo ou pessoal. Dispositivos corporativos gerenciados pelo Microsoft Intune, com Microsoft Defender for Endpoint ativo e EDR habilitado, têm capacidade de detectar comportamento suspeito de processos que caracteriza um loader como o Amadey: criação de persistência, comunicação com C2 externo, download e execução de payload de segunda etapa. Dispositivos pessoais usados para acesso a recursos corporativos são o elo mais difícil: a solução é Acesso Condicional que exige conformidade de dispositivo antes de conceder acesso ao Microsoft 365.
Cloud e dados — visibilidade além do endpoint
Permissões excessivas no SharePoint e no OneDrive amplificam o raio de dano de uma credencial comprometida. Um atacante com acesso a uma conta com permissão de leitura em toda a biblioteca de documentos corporativos pode exfiltrar anos de propriedade intelectual em horas. A revisão periódica de permissões, o Microsoft Purview para classificação e proteção de dados sensíveis, e o Microsoft Defender for Cloud Apps (CASB) para visibilidade de atividade anômala em apps SaaS são as camadas que reduzem esse risco.
Resposta — o que acontece quando a detecção aciona
Detecção sem resposta é visibilidade sem consequência. Quando o Entra Identity Protection detecta um login de risco elevado, existe um playbook definido para o que acontece? A conta é bloqueada automaticamente? O token é revogado? O analista de segurança é notificado com contexto suficiente para investigar? Para empresas sem SOC interno capacitado a responder a alertas de identidade 24/7, serviços de MDR (Managed Detection and Response) com cobertura do Microsoft Defender XDR são a forma mais eficiente de ter essa capacidade de resposta sem montar uma equipe interna especializada.
A pergunta que a operação coloca para cada gestor de TI
A operação da Microsoft e da Europol contra o Amadey e o StealC derrubou servidores. Mas os dados já roubados antes da operação — credenciais de colaboradores de empresas brasileiras, tokens de sessão do Microsoft 365, dados de acesso a VPNs corporativas — continuam nos mercados criminosos, disponíveis para compra e uso. A derrubada interrompeu a coleta de novos dados. Não invalidou o que já foi coletado.
Isso coloca uma pergunta prática e imediata na mesa de qualquer gestor de TI ou CISO: existem hoje credenciais de colaboradores da sua empresa circulando em mercados criminosos? A resposta honesta para a maioria das organizações de médio porte que não têm monitoramento de dark web ativo é: provavelmente sim, e não sei. E não saber é o problema.
Um diagnóstico de exposição a ataques baseados em credenciais roubadas avalia exatamente esse cenário: verifica a postura de autenticação do ambiente Microsoft 365, identifica contas com MFA insuficiente ou ausente, revisa permissões OAuth e regras de encaminhamento de e-mail, e verifica se há indicadores de comprometimento nos logs de identidade — antes que o incidente se torne visível pelo impacto.
Perguntas frequentes
O que são Amadey e StealC?
Amadey é um loader de malware vendido como serviço (MaaS) — uma plataforma que instala outros malwares no computador da vítima. StealC é um infostealer também vendido como serviço, com foco na extração de credenciais, cookies de sessão, tokens de acesso e dados sensíveis. Ambos foram alvos da operação coordenada da Microsoft e Europol em 24 de junho de 2026, que derrubou mais de 200 servidores de comando e controle.
O que é malware como serviço (MaaS)?
Malware como Serviço é um modelo em que grupos criminosos desenvolvem ferramentas maliciosas e as disponibilizam para outros criminosos via pagamento de assinatura ou participação nos lucros dos ataques — análogo ao modelo SaaS legítimo. O resultado é que criminosos sem conhecimento técnico avançado conseguem lançar ataques sofisticados usando infraestrutura pronta, com painel de controle e suporte técnico.
Minha empresa está em risco mesmo sem os softwares Amadey ou StealC instalados?
Sim. A infecção frequentemente começa em dispositivos pessoais de colaboradores — que têm credenciais corporativas salvas no navegador. O infostealer rouba essas credenciais, que são vendidas em mercados criminosos. O comprador usa as credenciais para acessar o Microsoft 365, e-mail, VPN ou ERP corporativo — usando conta legítima, sem acionar alertas de malware no ambiente corporativo.
O MFA protege contra ataques de infostealers?
Parcialmente. O MFA tradicional protege contra o uso direto de senha roubada, mas não contra sequestro de sessão — quando o infostealer rouba um cookie de sessão já autenticado com MFA. A proteção eficaz exige MFA resistente a phishing (FIDO2/passkeys), monitoramento comportamental de sessões e Acesso Condicional com avaliação de risco em tempo real.