核心摘要
- Europol于6月24日宣布Operation Endgame最新行动成果:联合多国执法机构及私营合作伙伴捣毁SocGholish、Amadey和StealC三大恶意软件网络
- 行动处置326台服务器和142个域名,追回约2,700万条被盗登录凭证,识别并冻结约4,100万欧元(约合4,700万美元)犯罪来源加密资产
- Microsoft首次运用AI(Copilot)分析恶意软件代码,将Amadey和StealC作为单一共谋实体起诉,利用美国RICO法案实现跨恶意软件家族的联合法律打击
- 参与机构涵盖德国联邦刑事警察局、荷兰国家警察、Eurojust及ESET、IBM X-Force、Proofpoint等十余家网络安全企业
- 对加密基金而言,执法机构大规模链上资产追踪与冻结能力的跃升,意味着AML/KYC合规框架需从前端客户识别延伸至交易对手资金链路审查
文章目录
- 事件概述 — Operation Endgame行动时间线与核心成果
- AI驱动的执法范式如何改变加密犯罪追查? — 从手动代码逆向到Copilot实时分析的跨越
- 影响分析 — 加密基金AML合规框架与交易对手审查的升级方向
本文由 Aiying 艾盈基金合规团队原创。艾盈持有香港信托或公司服务提供者牌照(TCSP),专注加密基金架构与离岸合规。转载需授权。
2026年6月24日,欧盟执法合作署(Europol)在荷兰海牙宣布Operation Endgame取得阶段性重大成果:一次横跨三大恶意软件网络(SocGholish、Amadey、StealC)的协同打击行动,处置数百台服务器、冻结逾4,700万美元涉黑加密资产,并首次将AI辅助代码分析纳入司法调查工具链。对于加密基金行业,此次行动不仅刷新了执法机构对链上犯罪资产的追踪和处置能力边界,更对基金的AML/KYC合规框架提出了从”形式合规”到”实质审查”的升级压力。
1. 事件概述
1.1 Operation Endgame 行动全貌
据Europol 6月24日官方公告及Infosecurity Magazine同日报道,Operation Endgame的最新一轮行动覆盖三个阶段:首先是荷兰国家警察主导的SocGholish僵尸网络清剿(6月中旬),其次是德国联邦刑事警察局协调、Europol欧洲网络犯罪中心(EC3)提供情报支持的Amadey与StealC基础设施打击(6月15日至19日),最后是Microsoft数字犯罪单元(DCU)主导的美国法院授权同步接管。
行动的核心成果包括:处置326台C2命令与控制服务器、查封142个恶意域名、追回约2,700万条被盗登录凭证,以及识别并冻结约4,100万欧元(约合4,700万美元)的犯罪来源加密资产。执法机构同时锁定了超过18,000台受害计算机,并与全球电信运营商合作帮助受影响用户清除感染。
1.2 三大恶意软件网络的技术画像
SocGholish以伪装成浏览器更新的虚假弹窗作为初始感染载体,广泛被勒索软件组织(包括受美国制裁的Evil Corp)用于入侵企业网络。Amadey作为攻击链中的”第一环”,核心功能是在受感染系统中植入额外恶意软件载荷——本质上是一个恶意软件分发平台。StealC则专精于凭据窃取,从受感染设备中提取密码、数字身份令牌和存储的访问凭据,并将其打包出售给后续犯罪链条。
Europol在公告中将三者定性为”网络犯罪供应链中的关键环节”。据Microsoft威胁情报数据,仅2026年5月前两周,Amadey和StealC就与全球超过14万台受感染计算机建立了C2连接。
2. AI驱动的执法范式如何改变加密犯罪追查?
2.1 Microsoft DCU 的 RICO + AI 双引擎
本次行动最具法律创新意义的环节来自Microsoft的诉讼策略。据Microsoft官方博客,其数字犯罪单元(DCU)的调查人员使用Copilot AI以自然语言提问的方式分析恶意软件代码——取代传统的手动逐行逆向工程。AI在数分钟内完成了通常需要数小时甚至数天的人工分析工作,并揭示了一个关键发现:尽管Amadey和StealC由不同开发团队编写,二者共享同一底层基础设施。
基于AI生成的这一洞见,Microsoft法律团队将Amadey和StealC作为单一共谋实体提起诉讼,援引美国《反勒索与受贿组织法》(RICO)。传统反恶意软件诉讼通常针对单一恶意软件家族逐一起诉,RICO框架允许将跨恶意软件家族的”犯罪企业”作为整体打击。Microsoft DCU助理总法律顾问Steven Masada在声明中指出:”当操作的多个部分同时被打断时,攻击更难发起、扩缩并从中恢复。”
2.2 公私合作模式的升级
Operation Endgame的公私合作范围显著扩大。除Europol、Eurojust和多国警方外,ESET、BitSight、IBM X-Force、Proofpoint、Lumen、Mitsui Bussan Secure Directions等网络安全企业提供了C2服务器清单、加密密钥、恶意软件构建标识符等关键威胁情报。IBM X-Force和Proofpoint的威胁研究员还联合开发了StealC模拟器,用于追踪操作基础设施和载荷。
这种公私数据融合模式对加密基金合规具有直接启示:执法机构的链上资产追踪能力已从单一区块链分析工具(如Chainalysis/TRM Labs),扩展到跨网络基础设施、恶意软件遥测和情报共享网络的综合态势感知。这意味着”混币器隔离—CEX变现”的传统洗钱链路在执法视野中的盲区正在急剧缩小。
3. 影响分析
3.1 对加密基金 AML/CFT 合规的影响
资金链路审查的纵深需求。Operation Endgame冻结4,700万美元加密资产的实践表明,执法机构现在有能力从恶意软件感染的起点追至链上资金终点。对加密基金而言,AML合规已不能仅停留在”交易对手是否为持牌实体”的第一层检查。基金在接受投资者认购资金或与交易对手进行大额转账时,须有能力回答:该笔资金从链上可追溯的源头是否与已知恶意软件地址、受制裁实体或执法标记地址存在关联。
“受污染”资产的风险定价。随着执法机构冻结资产能力的增强,链上资产的”合规洁净度”正在成为一种隐性定价因子。基金持仓中如果通过DeFi协议或OTC交易被动接收到与已知恶意软件网络相关的代币,虽然法律上不直接构成违规,但可能在后续交易对手审查、银行出入金、乃至基金审计中产生摩擦成本。
3.2 对投资者的影响
对基金投资者而言,Operation Endgame传递的核心信号是加密资产执法不再是”选择性执法”。4,700万美元的冻结规模虽不惊人——相比此前PlusToken等案件中数十亿美元的涉案金额——但此次行动的特点是精度和系统性:从恶意软件C2服务器到加密钱包地址的完整溯源链,每一步都有公私合作伙伴的技术验证。这意味着”小额分散、多次混币”的传统规避策略正在失效。
常见问题(FAQ)
加密基金是否需要专门审查交易对手的资金是否来自恶意软件网络?
在当前的监管框架下,没有明确的法定义务要求基金逐笔追溯交易对手的资金来源是否与恶意软件相关。但从合规最佳实践来看,基金AML政策应至少涵盖对已知执法标记地址的筛查——可通过集成Chainalysis、TRM Labs或Elliptic等区块链分析工具的API自动实现。FATF第40项建议的旅行规则(Travel Rule)在部分司法管辖区已要求虚拟资产服务商共享交易发起方和受益方信息,这也间接增强了对恶意软件相关资金的识别能力。
Operation Endgame 与加密基金的日常运营有什么关系?
直接关系体现在三个层面:一是银行关系——为加密基金提供法币出入金服务的银行在审查客户时会参考执法行动公告,基金AML政策的更新频率和覆盖范围可能成为银行持续尽调(ODD)的考察项;二是投资者尽调——当基金接受新投资者认购时,是否对认购资金进行链上筛查正逐步成为机构LP的期待;三是托管审计——基金审计师可能在年度审计中要求基金管理人说明对执法标记地址的筛查机制。
相关阅读:美国 CLARITY Act Section 604 遭遇反人口贩运联盟新一轮反对:开发者责任豁免条款对加密基金 AML 合规框架的潜在冲击 | CoinEx牵涉38.4亿美元伊朗制裁资金通道争议:TRM Labs链上追踪与加密基金交易对手合规警示
来源
- Europol — Global Cyber Strike Disrupts SocGholish, Amadey and StealC Malware Networks(2026年6月24日)
- Infosecurity Magazine — Operation Endgame Takes Down StealC and Amadey Infostealers(2026年6月24日)
- Microsoft On the Issues — Scaling Cybercrime Disruption Through Innovation and AI(2026年6月24日)
- Microsoft Security Blog — StealC and Amadey: Breaking Down Infostealers(2026年6月24日)
初版日期:2026-06-27 | 最后更新:2026-06-27