Source : BleepingComputer — Microsoft a annoncé avoir perturbé RedVDS, une plateforme cybercriminelle de « virtual desktop » (VDS) opérant depuis 2019, via des actions civiles aux États‑Unis et au Royaume‑Uni et une opération internationale conduite avec Europol et les autorités allemandes.
RedVDS fonctionnait comme un Cybercrime-as-a-Service vendant des serveurs Windows en cloud avec droits administrateur et sans limites d’usage pour environ 24 $/mois. La plateforme a été utilisée par plusieurs groupes de menace, dont Storm‑0259, Storm‑2227, Storm‑1575 et Storm‑1747, et son développeur/opérateur est suivi comme Storm‑2470. Microsoft a saisi l’infrastructure, mettant hors ligne le marketplace et le portail client. Deux co‑demandeurs se sont joints à l’action : H2‑Pharma (perte de 7,3 M$ via BEC) et l’association Gatehouse Dock Condominium en Floride (près de 500 000 $).
L’enquête a révélé que toutes les VM provenaient d’une même image Windows Server 2022 clonée, laissant une empreinte unique : le nom d’hôte WIN‑BUNS25TD77J. RedVDS louait des serveurs auprès de tiers aux États‑Unis, Royaume‑Uni, France, Canada, Pays‑Bas et Allemagne, permettant d’assigner des IP proches des cibles pour contourner les filtres géolocalisés. Les clients déployaient des utilitaires de mailing massif, collecteurs d’adresses, outils de confidentialité et logiciels d’accès distant, payant en cryptomonnaies pour préserver l’anonymat.
L’infrastructure a servi à des campagnes de phishing massif, hébergement d’arnaques, vol d’identifiants, prises de contrôle de comptes, BEC (détournement de paiements) et fraudes immobilières ayant entraîné de lourdes pertes pour plus de 9 000 clients au Canada et en Australie. En un mois, plus de 2 600 VM RedVDS ont envoyé en moyenne 1 million de messages de phishing par jour vers des clients Microsoft, menant à la compromission de près de 200 000 comptes Microsoft sur les quatre derniers mois. Depuis septembre 2025, ces attaques ont conduit à la compromission ou à l’accès frauduleux de plus de 191 000 organisations dans le monde (chiffres partiels). Des outils d’IA (dont ChatGPT) ont été utilisés pour améliorer la crédibilité des emails, et des deepfakes (échange de visages, manipulation vidéo, clonage de voix) ont servi à usurper des entités de confiance.
En septembre précédent, Microsoft DCU, en coordination avec Cloudflare, avait également perturbé RaccoonO365, une vaste opération de Phishing‑as‑a‑Service. Cet article relate un démantèlement d’infrastructure visant à réduire l’industrialisation de la fraude en ligne.
🧩 IOCs rapportés:
- Domaines : redvds[.]com, redvds[.]pro, vdspanel[.]space
- Empreinte VM : WIN‑BUNS25TD77J (Windows Server 2022 cloné)
🛠️ TTPs observés:
- Location de VDS avec admin et usage illimité pour phishing, hébergement d’arnaques et fraude
- Provision d’IP géo‑proches pour éviter les contrôles de localisation
- Usage d’outils de mailing, collecte d’emails, RAT/remote access, privacy tools
- Paiements en crypto pour l’anonymat
- Génération de phishing via IA, face‑swap, manipulation vidéo, clonage de voix
Type d’article : article de presse spécialisé relatant une opération de démantèlement et ses impacts chiffrés.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/microsoft-seizes-servers-disrupts-massive-redvds-cybercrime-platform/