Selon BleepingComputer, Microsoft (Digital Crimes Unit) et Cloudflare (Cloudforce One et Trust & Safety) ont mené début septembre 2025 une opération conjointe pour perturber l’opération de Phishing-as-a-Service (PhaaS) « RaccoonO365 », également suivie par Microsoft sous l’identifiant Storm-2246.
-
Mesure de disruption : saisie de 338 sites web et comptes Cloudflare Workers liés à l’infrastructure RaccoonO365.
-
Impact constaté : depuis juillet 2024, le groupe a volé au moins 5 000 identifiants Microsoft dans 94 pays. Les identifiants, cookies et autres données issus de OneDrive, SharePoint et des comptes e-mail ont été réutilisés pour des fraudes financières, extorsions ou comme accès initial à d’autres systèmes. En avril 2025, une campagne massive à thème fiscal a visé plus de 2 300 organisations aux États-Unis ; les kits ont aussi été utilisés contre plus de 20 organisations de santé américaines, avec des risques directs pour les patients (retards de soins, compromission de résultats, fuites de données).
-
Mode opératoire du service : RaccoonO365 louait des kits de phishing via un canal Telegram privé (plus de 840 membres au 25 août 2025). Les kits incluaient CAPTCHA et anti-bot pour paraître légitimes et déjouer l’analyse. Tarifs : 355 $ (30 jours) à 999 $ (90 jours), payés en USDT (TRC20, BEP20, Polygon) ou Bitcoin (BTC). Microsoft estime au moins 100 000 $ reçus en crypto, suggérant 100–200 abonnements (le total réel pourrait être supérieur).
-
Attribution et failles OpSec : le chef présumé de RaccoonO365 serait Joshua Ogundipe (Nigeria). Cloudflare estime qu’une collaboration avec des cybercriminels russophones est plausible (nom du bot Telegram en russe). Une erreur opérationnelle révélant un portefeuille crypto a facilité l’attribution par la DCU. Un signalement pénal a été transmis aux autorités internationales.
-
Contexte connexe : en mai, Microsoft avait déjà saisi 2 300 domaines lors d’une action coordonnée contre le malware-as-a-service Lumma (stealer).
TTPs observées (extraits) 🛠️
- Phishing-as-a-Service avec kits packagés.
- Pages CAPTCHA et techniques anti-bot pour l’évasion et la légitimation.
- Leurres thématiques fiscaux (campagne d’avril 2025, USA) et ciblage du secteur de santé.
- Vol d’identifiants et cookies de comptes Microsoft 365 (OneDrive, SharePoint, e-mail) puis monétisation (fraude, extorsion, accès initial).
- Distribution/gestion via Telegram et paiements en cryptomonnaies.
IOCs 🔍
- Aucun IOC spécifique (domaines, adresses, hachages) n’est fourni dans l’article ; mention de 338 sites/comptes Workers saisis.
Type d’article et but : article de presse spécialisé relatant une opération de perturbation/démantèlement menée par Microsoft et Cloudflare, avec détails d’attribution, d’impact et du modèle PhaaS.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/microsoft-and-cloudflare-disrupt-massive-raccoono365-phishing-service/