Source: Microsoft Threat Intelligence — Microsoft détaille l’essor de RedVDS, un marché criminel de VDS/RDP Windows clonés, utilisé par de multiples acteurs financiers (Storm‑0259, Storm‑2227, Storm‑1575, Storm‑1747, etc.) pour des opérations de phishing, account takeover et BEC à l’échelle mondiale. En coopération avec des forces de l’ordre, la Digital Crimes Unit (DCU) a récemment facilité une perturbation de l’infrastructure RedVDS. Microsoft relie ces activités à environ 40 M$ de pertes signalées aux États‑Unis depuis mars 2025.

🚨 Infrastructure et mode opératoire

  • RedVDS opère depuis 2019 via redvds[.]com (et domaines secondaires) en vendant des serveurs RDP Windows à bas coût, payés en cryptomonnaies (Bitcoin, Litecoin, Monero, Binance Coin, Avalanche, Dogecoin, TRON).
  • Tous les hôtes provenaient d’une même image Windows Server 2022 clonée, avec le même nom d’hôte anormal: WIN‑BUNS25TD77J. L’opérateur (Storm‑2470) a industrialisé le clonage via QEMU + VirtIO, sans personnaliser l’identité système, créant une empreinte technique exploitable par les défenseurs.
  • RedVDS louait des serveurs chez des hébergeurs tiers (US, CA, UK, FR, NL) pour proposer des IP proches des victimes et brouiller les filtres géolocalisés, sans quotas ni journaux d’activité.

🧰 Outils observés et chaîne d’attaque

  • Outils récurrents sur les hôtes RedVDS: mass mailers (SuperMailer, UltraMailer, BlueMail, SquadMailer), collecte d’emails (Sky Email Extractor, Email Sorter Pro/Ultimate), OPSEC (navigateurs orientés confidentialité, VPN NordVPN/ExpressVPN, SocksEscort), AnyDesk, Python, tentatives d’automatisation via Microsoft Power Automate, rédaction de leurres via IA (ex. ChatGPT).
  • Chaîne d’attaque typique: reconnaissance → développement de ressources (kits/phish, domaines) → livraison (campagnes de masse) → compromission de comptes (vol d’identifiants, prompts MFA) → rejeu de tokens/cookies pour contourner la MFA → infrastructure d’usurpation (enregistrement de domaines homoglyphes; >7 300 IP et >3 700 domaines en 30 jours) → ingénierie sociale et fraude au paiement.

🎯 Attaques courantes via RedVDS

  • Phishing de masse: abus de Microsoft 365 pour créer de faux tenants imitant des entreprises locales; usage de navigateurs et messageries (Brave, Telegram Desktop, Signal Desktop, AnyTime Desktop) et d’outils d’envoi de masse.
  • Password spraying depuis l’infrastructure RedVDS.
  • Phishing interne usurpé: envoi de messages semblant provenir du domaine de l’organisation, exploitant des protections anti‑spoof mal configurées (thèmes: messageries vocales, documents partagés, RH, réinitialisations). Peut mener à vol d’identifiants, BEC et pertes financières.
  • BEC/ATO: prise de boîtes mail, mouvement latéral, insertion dans des fils existants, dépôt de leurres d’invitation dans SharePoint, exfiltration d’infos bancaires et d’invoices.

🔍 IOCs et TTPs

  • IOCs:
    • Domaines/URL RedVDS: redvds[.]com, redvds[.]pro, redvdspanel[.]space, hxxps://rd[.]redvds[.]com
    • Empreinte/Hostname RDP: WIN‑BUNS25TD77J
  • TTPs (exemples):
    • Clonage d’une image Windows Server 2022 unique; hôtes RDP avec empreintes identiques (certificats/IDs)
    • Provisionnement automatisé via QEMU/VirtIO; hébergement distribué multi‑fournisseurs
    • Mass mailing, harvesting d’emails, VPN/Proxy, AnyDesk, SocksEscort
    • Enregistrement de domaines homoglyphes, usurpation et thread hijacking
    • Rejeu de tokens/session cookies et prompts MFA approuvés pour maintenir l’accès
    • Password spray, spoof d’emails internes (protections anti‑spoof mal configurées)
    • Création de faux tenants Microsoft 365, leurres SharePoint, exfiltration d’invoices/données bancaires

🛡️ Défense et détections (citées par Microsoft)

  • Renforcement EOP/Defender for Office 365 (politiques, Safe Links), formations/simulations de phishing, MFA et passwordless.
  • Anti‑spoof/DMARC côté Microsoft 365/EOP (détections des en‑têtes « From » forgés, spoof intelligence).
  • Détections Defender XDR: règles boîte de réception BEC, comptes compromis, tentatives de connexion risquées post‑phishing, AnyDesk suspect, password spraying, etc.

Il s’agit d’une analyse de menace publiée par Microsoft visant à exposer l’infrastructure RedVDS, ses usages criminels, ainsi que des indicateurs et techniques utiles à la détection et à la réponse.

🧠 TTPs et IOCs détectés

TTP

[‘Clonage d’une image Windows Server 2022 unique; hôtes RDP avec empreintes identiques (certificats/IDs)’, ‘Provisionnement automatisé via QEMU/VirtIO; hébergement distribué multi-fournisseurs’, ‘Mass mailing’, ‘Harvesting d’emails’, ‘Utilisation de VPN/Proxy’, “Utilisation d’AnyDesk”, ‘Utilisation de SocksEscort’, ‘Enregistrement de domaines homoglyphes’, ‘Usurpation et thread hijacking’, ‘Rejeu de tokens/session cookies et prompts MFA approuvés pour maintenir l’accès’, ‘Password spray’, ‘Spoof d’emails internes (protections anti-spoof mal configurées)’, ‘Création de faux tenants Microsoft 365’, ‘Leurres SharePoint’, ‘Exfiltration d’invoices/données bancaires’]

IOC

[‘Domaines/URL RedVDS: redvds[.]com, redvds[.]pro, redvdspanel[.]space, hxxps://rd[.]redvds[.]com’, ‘Empreinte/Hostname RDP: WIN‑BUNS25TD77J’]

🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2026/01/14/inside-redvds-how-a-single-virtual-desktop-provider-fueled-worldwide-cybercriminal-operations/