微軟指出,這次行動策略已從傳統上針對單一惡意軟體服務,轉變為打擊協調多個獨立工具與犯罪份子的網路犯罪「生產線」。在此次行動中,調查人員運用 AI 工具,包括微軟旗下產品 Copilot,分析惡意軟體程式碼,以比傳統人工分析更快的速度,找出隱藏細節並識別基礎設施之間的關聯。微軟強調,AI 分析的應用,與擴大運用民事法律工具(如反勒索及受賄組織法案,Racketeer Influenced and Corrupt Organizations Act)結合,是這次行動的一大特點。
根據微軟威脅情報團隊、Windows Defender 研究人員和 Microsoft Digital Crimes Unit 的描述,StealC 是一種「租賃式資訊竊取軟體」(infostealer for rent),威脅行為者可利用它產生客製化的酬載,並透過網頁面板管理竊取到的資料。這款軟體能竊取瀏覽器、加密貨幣錢包、通訊應用程式、電子郵件客戶端和遊戲平台的資料,包含儲存的密碼、會話 cookie(記錄使用者登入狀態與活動的小型資料)、自動填寫資料、瀏覽歷史記錄及桌面螢幕截圖等。此外,StealC 還能作為次級載入器,下載並執行其他惡意程式碼。而 Amadey 則是一種「惡意軟體即服務」(malware-as-a-service)載入器,自至少 2018 年以來便相當活躍,主要用於感染設備後傳遞 StealC、Lumma Stealer、遠端存取木馬、加密貨幣挖礦軟體,甚至勒索軟體。
微軟警告,資訊竊取軟體即使初期是透過個人或非受控裝置入侵,也可能演變成嚴重的企業資安事件。例如,員工家用電腦中被竊取的會話 cookie 或虛擬私人網路(VPN)憑證,可能讓攻擊者使用有效憑證進入企業系統,甚至繞過多因素驗證(需要多種方式才能登入的驗證機制)。微軟表示,此次行動並非一次性,而是廣泛策略的一部分,目標是透過法律行動、AI 分析與夥伴協調,破壞讓網路犯罪服務得以擴展的基礎設施,從而瓦解「不只是單一工具,還有促成網路犯罪的系統」。隨著 AI 技術在資安領域的應用日益普及,台灣資安產業亦可借鏡此趨勢,積極探索 AI 在網路威脅偵測與防禦上的潛力。