Selon un billet référencé de Chainalysis (blog), Microsoft Digital Crimes Unit (DCU) a démantelé la plateforme RaccoonO365/Storm-2246, un service de phishing-as-a-service basé au Nigeria, en menant une action civile inédite intégrant l’analyse de cryptomonnaies.
Microsoft a obtenu la saisie de 338 sites utilisés par l’infrastructure de Storm-2246/RaccoonO365 🚫. Il s’agit de la première action civile de Microsoft incorporant une analyse de cryptomonnaies pour étayer l’enquête et l’attribution 🪙. Le service proposait des kits de phishing prêts à l’emploi ciblant les utilisateurs Office 365 📨, vendus via des canaux Telegram rassemblant plus de 800 membres.
L’activité de cette plateforme a permis des compromissions de courriels professionnels (BEC), a facilité des campagnes de ransomware et des fraudes financières, avec un impact particulier sur le secteur de la santé 🏥. Le modèle « phishing-as-a-service » abaissait fortement la barrière à l’entrée pour des clients sans compétences techniques.
Sur le plan technique, l’enquête s’est appuyée sur des outils d’analyse blockchain (notamment Chainalysis Reactor) pour retracer les flux financiers. Des lacunes d’OPSEC du groupe, dont le partage involontaire d’adresses de portefeuilles, ont facilité la corrélation des transactions et l’attribution. Les paiements passaient par des wallets USDT (TRC‑20) liés à des plateformes d’échange nigérianes, permettant une analyse des motifs de transactions et des liens opérationnels.
TTPs observés:
- Phishing-as-a-service via kits prêts à l’emploi
- Ciblage d’Office 365 et exploitation de Telegram pour la vente/support
- Monétisation en USDT (TRC‑20) via des échanges locaux
- Erreurs d’OPSEC (partage d’adresses de wallet)
- Finalités: BEC, ransomware, fraude financière
Type d’article et objectif: opération de police; rendre compte d’un démantèlement par action civile et d’une attribution appuyée par l’analyse de cryptomonnaies.
🔗 Source originale : https://www.chainalysis.com/blog/following-the-money-with-chainalysis-maurice-mason-microsoft/