Global politiaktion slår til mod centrale malware-netværk

En omfattende international aktion har i de seneste uger ramt centrale dele af den globale cyberkriminalitet. Under navnet Operation Endgame har myndigheder og private aktører koordineret indsatser mod infrastrukturen bag udbredte malware-værktøjer som SocGholish, Amadey og StealC.

Det skriver en række medier baseret på en pressemeddelelse fra Europol.

Et koordineret globalt indgreb

Operationen er gennemført i samarbejde mellem politimyndigheder myndigheder i blandt andet Danmark, USA, Storbritannien, Tyskland og Holland. Europol og Eurojust har stået for koordineringen, mens private aktører har bidraget med teknisk indsigt og operationel støtte.

Over de seneste to uger er centrale dele af de kriminelle netværk blevet demonteret. Resultaterne omfatter blandt andet:

• 326 servere og 142 domæner er taget ned eller overtaget
• Kryptomidler til en værdi af over 41 millioner euro er identificeret og låst
• Op til 27 millioner stjålne loginoplysninger er blevet genfundet

Indgrebet har haft til formål at forstyrre de “samlebånd”, som cyberkriminelle bruger til at gennemføre ransomwareangreb, økonomisk svindel og angreb mod kritisk infrastruktur.

Cybercrime-as-a-service under pres

De ramte malware-familier er en del af en forretningsmodel, hvor værktøjer til cyberangreb udbydes som en service. Det betyder, at aktører uden større teknisk kunnen kan købe sig adgang til effektive angrebsværktøjer.

SocGholish, Amadey og StealC spiller hver deres rolle i denne kæde:

• SocGholish bruges til at skabe første adgang til systemer
• Amadey fungerer som en platform til at hente yderligere skadelig kode
• StealC specialiserer sig i at stjæle oplysninger som adgangskoder og digitale identiteter

Tilsammen udgør de en fleksibel værktøjskasse, som kan tilpasses forskellige typer angreb – fra datatyveri til afpresning via ransomware.

Falske opdateringer som indgang

Særligt SocGholish har været udbredt gennem kompromitterede websites, hvor brugere mødes af falske opdateringer til eksempelvis deres browser.

I stedet for en legitim opdatering installeres malware, som giver angribere adgang til systemet. Denne metode er ofte blevet distribueret via hackede WordPress-sider.

Som led i operationen er næsten 15.000 inficerede websites blevet renset. Det drejer sig blandt andet om sider tilhørende mindre virksomheder og lokale services.

SocGholish er desuden sat i forbindelse med den russiske cyberkriminelle gruppe Evil Corp, som tidligere har stået bag store malware-kampagner.

Data som råstof i angrebskæden

De øvrige værktøjer, Amadey og StealC, illustrerer hvordan moderne cyberangreb er opdelt i specialiserede trin.

Amadey bruges ofte til at få fodfæste i systemer, typisk via phishing. Herefter kan StealC trække følsomme oplysninger ud – eksempelvis loginoplysninger – som enten misbruges direkte eller videresælges.

Ifølge data fra Microsoft blev netop disse to værktøjer i begyndelsen af maj 2026 kædet sammen med over 140.000 kompromitterede enheder globalt.

Oprydning og varsling af ofre

En væsentlig del af indsatsen har været at identificere og underrette ofre. Det er blandt andet sket gennem samarbejde med tjenester som Have I Been Pwned og en række internationale sikkerhedsorganisationer.

Ejere af kompromitterede websites er blevet opfordret til at:

• ændre loginoplysninger
• aktivere multifaktor-autentifikation
• fjerne ukendte brugerkonti
• opdatere deres systemer

Derudover er sårbarheder på mange inficerede WordPress-sider blevet lukket som led i oprydningsarbejdet.

Et skifte i strategi

Flere medier skriver, at Operation Endgame repræsenterer en ændring i den måde, myndigheder arbejder med cyberkriminalitet på. I stedet for primært at reagere på enkeltstående angreb er fokus her på at ramme de underliggende strukturer.

Ved at slå til mod flere led i kæden samtidigt – fra inficerede websites til malware-infrastruktur og finansielle strømme – bliver det vanskeligere for kriminelle aktører at genopbygge deres kapacitet hurtigt.