2026年6月下旬,跨國執法行動Operation Endgame成功摧毀Amadey、SocGholish與StealC的犯罪基礎設施。日本資安公司三井物產安全指引(MBSD)追蹤Amadey長達6年,揭露其自2022年成為主要惡意程式傳遞工具,並於2025年達到高峰,散布超過11,635種惡意程式。MBSD共發現741台C2伺服器,顯示Amadey已進入「惡意軟體平台化」時代,單一感染點可演變為多種威脅聚集地,傳統特徵碼偵測已不足夠,需轉向行為監控與深度防禦體系。
6月下旬,全球協調的跨國執法行動Operation Endgame正式發起,成功瓦解並摧毀了Amadey、SocGholish(FakeUpdates)及StealC背後的犯罪基礎設施。在此行動參與的民間企業組織中,日本資安公司三井物產安全指引(Mitsui Bussan Secure Directions,MBSD)發揮關鍵角色。MBSD透露,他們已持續追蹤Amadey的活動長達6年,並正式公布調查結果。根據MBSD數據,Amadey從2022年開始成為網路犯罪生態圈廣泛使用的惡意程式傳遞工具,並在2025年達到歷史高峰。2019年僅有66種惡意程式利用Amadey,2020年增長至260種,2021年種類成長超過4倍達1,231種,2022年再增加約3倍達3,500種,此時Amadey已成為主要的惡意程式散布基礎設施。到了2023年,利用Amadey的惡意程式數量翻倍至8,360種,並於2025年達到高峰,有多達11,635種惡意程式藉此傳遞至受害電腦。
Amadey是一款模組化的惡意軟體下載器(Loader),其核心目的在於將額外的惡意代碼分發部署至受害系統中,同時提供資料外洩與遠端存取功能。Amadey主要針對Windows設備運作,可被指令執行多種功能,包括資料暴露、外洩、部署惡意軟體與Spyware,以及協助未經授權的網路存取。其散布方式主要透過網路釣魚攻擊、受感染廣告與檔案,常見手法包括使用惡意Word文檔或偽裝成Word圖示的可執行檔案,並以工作申請或版權侵權通知作為誘餌。Amadey採用「一對多」散布模式,使得單一感染點能迅速演變成多種威脅的聚集地,形成類似「惡意軟體超市」的結構。面對此類MaaS(Malware-as-a-Service)模式威脅,傳統特徵碼(Signature-based)偵測已不足夠,因為載入器本身會不斷變形(Polymorphic),且下載的次級軟體種類繁多。
Amadey的影響範圍已從2019年的66種惡意程式擴展至2025年的11,635種,顯示其已成為全球網路犯罪生態圈中最重要的惡意程式散布基礎設施。MBSD在這段期間總共發現741台C2伺服器,每天積極運作的C2伺服器數量在2023年達到高峰,最多一天有30台在運作,但從2024年開始逐漸減少。這些C2伺服器持續運作的時間大多都很短,近6成在一個月內會下線,另約2成運作時間在2個月內結束,但也有極少數(2台)例外,運作時間超過2年。Amadey的案例證明了現代惡意軟體已進入「平台化」時代,單一的感染不再僅代表一種威脅,而是一個潛在的「惡意軟體超市」。企業不能僅依賴單一的防毒軟體,而必須建立從網路邊界到端點的深度防禦體系,並將焦點從「阻擋已知惡意檔案」轉向「偵測異常行為」。此外,Amadey Bot已被LockBit成員用於安裝LockBit惡意軟體,並透過兩種方式分發:惡意Word文檔與偽裝成Word圖示的可執行檔案,攻擊目標多為公司,以工作申請或版權侵權通知作為誘餌進行網路釣魚。
針對Amadey這類MaaS模式威脅,企業應採取以下防禦策略:首先,實施嚴格的腳本型附件過濾,監控PowerShell執行情況,並評估GitHub的存取政策,因為攻擊者可能利用GitHub作為開放式檔案庫傳播惡意載荷。其次,建議採用縱深防禦策略和行為監控機制,以偵測異常下載模式或惡意程式執行行為。上述指令可用於初步篩選是否有人利用PowerShell進行遠端下載,這是Amadey等載入器常用的初始執行路徑。若發現非IT管理員執行的此類指令,應立即將該端點隔離並進行完整掃描。此外,組織應定期進行漏洞修補,因為N-day漏洞利用是可預防的;實施組織範圍的網路安全培訓,教導員工如何區分網路釣魚郵件與合法訊息,並識別與回應惡意軟體;建立明確的安全協議,包括如何處理潛在惡意軟體、正確儲存與存取資料,以及身份驗證與授權協議;最後,採用現代化安全工具,包括檔案掃描、病毒保護、認證工具與存取控制強制執行,並整合至綜合解決方案中。