# 오퍼레이션 엔드게임, StealC·Amadey·SocGholish 랜섬웨어 진입로 초토화 > 유로폴, 마이크로소프트 및 파트너들이 서버 326대·도메인 142개 압수, 4,100만 유로 규모 암호화폐 동결 **Meta:** type: event · date: 2026-06-24 · heads: 무엇이 무너졌는가, 누구의 돈인가 · 13 takes · 3 lenses · 9 regions ## 요약 2026년 6월 24일 [유로폴](/ko/entity/european-union)은 오퍼레이션 엔드게임의 최신 장을 발표했다. 6월 15~19일 실행된 이번 작전은 [랜섬웨어](/ko/entity/ransomware)와 사기의 씨앗을 뿌리는 인포스틸러·로더 악성코드 패밀리인 SocGholish, Amadey, StealC를 겨냥했다. 캐나다, 덴마크, [독일](/ko/entity/germany), 네덜란드, 영국, [미국](/ko/entity/united-states)의 경찰과 마이크로소프트, 비트디펜더, ESET, IBM X-Force, 프루프포인트 등이 공동으로 서버 326대를 차단하고 도메인 142개를 압수했으며, 도난 자격증명 약 2,700만 건을 회수하고 4,100만 유로(약 4,700만 달러) 이상의 범죄용 [암호화폐](/ko/entity/crypto-laundering)를 특정·동결했다. 마이크로소프트 디지털 범죄 대응 부서도 법원 허가를 받은 병행 차단을 실시했으며, 2026년 5월 첫 2주 동안에만 14만 대 이상의 감염 기기를 해당 악성코드와 연결 지었다. ## 수치로 - 326대, 차단된 서버 수; 142개, 압수된 도메인 수. - 4,100만 유로(4,700만 달러), 특정·동결된 범죄용 암호화폐. - 2,700만 건, 회수된 도난 로그인 자격증명. - 14만 대 이상, 2026년 5월 초 Amadey/StealC에 감염된 컴퓨터(마이크로소프트 집계). - 6개국 경찰 기관과 다수의 민간 기업이 작전에 참여. ## 왜 중요한가 인포스틸러와 로더는 랜섬웨어 아래 깔린 도매 계층으로, 범죄 집단이 협박 공격을 감행하기 위해 구매하는 저렴한 초기 접근 수단이다. 이 조립 라인을 약화시키면 [생태계](/ko/n/ransomware-surge-fragmentation-2026) 전반의 비용이 올라가지만, 탄력적인 서비스형 범죄 인프라는 재건되는 경향이 있어 이번 성과는 수개월 단위로 측정된다. ## 주목할 사항 - 운영자들이 수 주 내에 재건하거나 이름을 바꿔 활동을 재개하는지 여부. - 인프라 압수 이후 체포 또는 기소 여부. - 동결된 4,100만 유로 암호화폐에서 랜섬웨어 제휴사로 이어지는 자금 추적. ## Regional takes (batched by bias / lens) ### unlabelled - **Europol** (European Union, en) — SocGholish, Amadey, StealC를 겨냥한 글로벌 사이버 공작에 관한 유로폴의 2026년 6월 24일 보도자료. 서버 326대·도메인 142개 압수, 도난 자격증명 2,700만 건 회수, 4,100만 유로 이상의 범죄용 암호화폐 특정 및 동결이 보고됐다. Source: https://www.europol.europa.eu/media-press/newsroom/news/global-cyber-strike-disrupts-socgholish-amadey-and-stealc-malware-networks - **Eurojust** (European Union, en) — 오퍼레이션 엔드게임의 사법 협력 과정을 다룬 유로저스트의 보고서. 참여국 간 국경을 초월한 법적 공조의 세부 내용이 담겨 있다. Source: https://www.eurojust.europa.eu/news/authorities-continue-protect-citizens-cybercriminals-during-major-malware-operation - **Infosecurity Magazine** (United Kingdom, en) — Source: https://www.infosecurity-magazine.com/news/operation-endgame-stealc-amadey/ - **Help Net Security** (Croatia, en) — Source: https://www.helpnetsecurity.com/2026/06/24/operation-endgame-stealc-amadey-malware-disrupted/ - **Security Affairs** (Italy, en) — Source: https://securityaffairs.com/194173/cyber-crime/europol-disrupts-stealc-and-amadey-malware-infrastructure-in-operation-endgame.html - **Hackread** (Global, en) — Source: https://hackread.com/operation-endgame-stealc-amadey-socgholish-malware/ - **Cybernews** (Lithuania, en) — Source: https://cybernews.com/security/europol-operation-endgame-disrupts-three-malware-strains/ - **Industrial Cyber** (Global, en) — Source: https://industrialcyber.co/threat-landscape/europols-operation-endgame-dismantles-1025-servers-tied-to-global-malware-networks-targeting-critical-infrastructure/ - **Cybersecurity Dive** (United States, en) — Source: https://www.cybersecuritydive.com/news/information-stealer-malware-law-enforcement-takedown-asia/750447/ - **GlobeNewswire (ESET)** (Slovakia, en) — Source: https://www.globenewswire.com/news-release/2026/06/24/3316918/0/en/eset-takes-part-in-global-operation-endgame-to-disrupt-amadey-botnet-and-stealc-infostealer.html - **The Manila Times** (Philippines, en) — Source: https://www.manilatimes.net/2026/06/24/tmt-newswire/globenewswire/eset-takes-part-in-global-operation-endgame-to-disrupt-amadey-botnet-and-stealc-infostealer/2372087 ### threat-intelligence - **The Record (Recorded Future)** (United States, en) — 세 가지 악성코드 패밀리를 랜섬웨어와 사기의 씨앗을 뿌리는 '서비스형 사이버 범죄' 진입로로 규정하고, 경찰 작전과 병행해 마이크로소프트가 명령·제어 인프라에 대한 민사적 무력화 조치를 진행했다고 보도. > "세 가지 서비스형 사이버 범죄 조직이 마이크로소프트와 법집행기관에 의해 해체됐다." Source: https://therecord.media/stealc-amadey-socgholish-malware-takedown-europol-microsoft ### technical / SOC - **BleepingComputer** (United States, en) — 악성코드의 작동 방식, 즉 Amadey가 초기 접근 로더로, StealC가 자격증명·지갑 탈취자로 기능하는 구조와 6월 15~19일의 작전 창을 상세히 설명하며, 테이크다운이 이런 탄력적 서비스를 약화시키지만 완전 소탕은 드물다는 점을 강조. > "Amadey가 접근권을 확보하고 StealC가 비밀번호와 데이터를 탈취하는, 공격 체인의 초기 단계." Source: https://www.bleepingcomputer.com/news/security/amadey-stealc-malware-operations-disrupted-in-operation-endgame-action/ ## Across the graph - Related: [[garantex-grinex-crypto-sanctions-2026]], [[ransomware-surge-fragmentation-2026]], [[apt28-signal-phishing-advisory]], [[north-korea-crypto-theft-it-workers-2026]] - Entities: Ransomware, Crypto Laundering, European Union, Germany, United States --- Canonical: https://rbtfl.xyz/ko/n/operation-endgame-stealc-amadey-2026