核心摘要
- Europol联合六国执法机构、Eurojust及Microsoft,于2026年6月24日执行Operation Endgame,捣毁SocGholish、Amadey和StealC三大恶意软件网络。
- 行动查封326台服务器和142个域名,清理14,971个被感染网站,追回2,700万条被盗登录凭证,冻结约4,100万欧元(约4,700万美元)涉黑加密资产。
- 三种恶意软件均采用「网络犯罪即服务」(Cybercrime-as-a-Service)模式运营,SocGholish与俄罗斯Evil Corp犯罪集团存在直接关联。
- 2026年5月初,Amadey和StealC单月感染超14万台设备,凸显恶意软件对加密钱包凭证和个人数据的系统性威胁。
- 此次行动是2026年迄今规模最大的跨境加密资产冻结执法,展示了公私合作(Microsoft情报支撑)在打击加密犯罪中的关键价值。
📑 文章目录
- 行动概览 — Operation Endgame的规模与执法力量
- 三大恶意软件生态 — SocGholish、Amadey和StealC的技术与犯罪模式
- 加密资产冻结与合规启示 — 跨境执法合作对持牌机构的风控意义
本文由 Aiying 艾盈合规团队原创,转载需授权。
欧盟执法合作署(Europol)于2026年6月25日宣布,在Operation Endgame行动中联合六国执法机构,成功打击了SocGholish、Amadey和StealC三大恶意软件网络,冻结约4,700万美元涉黑加密资产。这是2026年迄今规模最大的跨境恶意软件基础设施清剿行动,也是公私合作在加密犯罪打击中的一次标志性实践。
一、行动概览:六国联合执法力量的集结
参与机构与合作模式
Operation Endgame于2026年6月24日执行,参与方包括来自加拿大、丹麦、德国、荷兰、英国和美国的执法机构,Eurojust提供司法协调支持,Microsoft则贡献了关键的威胁情报(Crypto Briefing, 2026年6月25日)。这种”执法+司法+技术企业”三方协作模式,正成为打击跨境加密犯罪的标准范式。
行动成果量化
- 服务器:查封326台用于恶意软件分发和控制的服务器
- 域名:处置142个恶意域名
- 被感染网站:清理14,971个被入侵网站(多为WordPress站点,被劫持用于分发SocGholish的虚假浏览器更新提示)
- 被盗凭证:追回2,700万条被盗登录凭证,正通过Have I Been Pwned平台通知受害者
- 加密资产冻结:限制使用约4,100万欧元(约4,700万美元)犯罪来源加密资产(Europol / 吴说区块链, 2026年6月27日)
二、三大恶意软件生态:网络犯罪即服务的运作模式
SocGholish:伪装更新的网站劫持者
SocGholish通过入侵合法网站并植入虚假的浏览器更新提示,诱骗用户下载恶意负载。该恶意软件与俄罗斯Evil Corp犯罪集团存在直接关联——Evil Corp是被美国司法部和OFAC列入制裁名单的知名网络犯罪组织。SocGholish主要用作初始感染载体,为后续勒索软件攻击和金融欺诈提供入口。
Amadey:多阶段恶意软件加载器
Amadey是一种模块化恶意软件加载器,被设计用于在受感染设备上下载和安装额外的恶意软件。它在网络犯罪地下市场中以低价出售或租赁,降低了技术门槛,使不具备高级编程能力的犯罪分子也能部署复杂的攻击链。Microsoft的威胁情报数据显示,仅2026年5月初,Amadey与StealC合计感染超过14万台设备。
StealC:加密资产凭证的专门窃取者
StealC专注于窃取浏览器存储的密码、加密钱包凭证和敏感个人数据。对于加密资产持有者而言,StealC是直接威胁——一旦获得钱包私钥或交易所账户凭证,攻击者可在数分钟内转移资产。这三种恶意软件均采用「Cybercrime-as-a-Service」(CaaS)模式:由专业开发团队构建工具,以服务形式出租给下游犯罪分子,构建了一个分层分工、高度产业化的犯罪供应链(Crypto Times, 2026年6月25日)。
三、加密资产冻结与合规启示
跨境加密资产追踪的执法能力提升
此次行动成功冻结4,700万美元涉黑加密资产,是执法机构在链上资产追踪和冻结技术方面持续进步的体现。Europol近年来显著加强了加密犯罪调查能力建设,包括专门的链上分析团队和与区块链分析公司的合作。对于持牌加密交易平台和托管机构,这意味着执法机构对涉黑资产流向的追溯能力正在快速提升,KYC/AML合规体系必须与执法要求保持同步。
对持牌机构的合规启示
- 交易监控升级:恶意软件窃取的资产通常会经过多层混币和跨链转移后进入持牌交易所。机构需确保交易监控系统能识别与已知恶意地址的关联交易,即使是间接关联。
- 凭证安全管理:2,700万条被盗凭证的规模提醒机构,客户账户安全不仅取决于平台自身的防护,还受制于客户端的恶意软件暴露风险。双因素认证(非短信)、硬件安全密钥和异常登录检测是必要的防御层级。
- 公私合作参与:Microsoft在此次行动中的情报贡献展示了技术企业在执法中的关键角色。持牌机构应建立与网络安全公司和执法机构的信息共享通道,在资产被盗事件发生时实现快速响应。
行业意义
Operation Endgame不仅是一次成功的执法行动,更揭示了加密犯罪生态的深层结构:从恶意软件开发(SocGholish/Amadey/StealC)→初始感染→凭证窃取→资产转移→混币/跨链→兑换为法币,每个环节都已高度专业化和商业化。对于监管机构和持牌机构而言,打击加密犯罪需要在这个链条的每个节点布局防御,单一环节的管控远远不够。
常见问题(FAQ)
Europol如何实现对加密资产的冻结?
Europol并不直接冻结区块链上的资产,而是通过成员国执法机构协调行动,识别涉黑加密资产的流动路径和相关钱包地址,随后由成员国依据本国法律对涉案钱包实施司法冻结。在涉及中心化交易所的情况下,执法机构可通过法院令要求交易所冻结相关账户。具体的技术手段包括区块链分析工具追踪资金流向、与交易所的AML合规团队协作标记可疑地址等。
加密资产持有者如何防范恶意软件窃取?
针对StealC等凭证窃取型恶意软件,建议采取以下多层防护措施:(1)使用硬件钱包存储大额加密资产,私钥永不触网;(2)为每个交易所账户设置独立且复杂的密码,配合密码管理器;(3)启用非短信的双因素认证(如硬件安全密钥或认证器App);(4)定期在Have I Been Pwned检查个人凭证是否已在数据泄露中暴露;(5)保持操作系统和浏览器的自动更新,减少已知漏洞被利用的风险。
本文基于以下信源撰写:Crypto Briefing, 2026年6月25日;Crypto Times, 2026年6月25日;Europol / 吴说区块链, 2026年6月27日。