Microsoft y Cloudflare han logrado desmantelar una importante operación de Phishing-as-a-Service (PhaaS), conocida como RaccoonO365, que facilitaba a los ciberdelincuentes el robo de miles de credenciales de Microsoft 365.

A principios de septiembre de 2025, en coordinación con los equipos Cloudforce One y Trust and Safety de Cloudflare, la Unidad de Delitos Digitales (DCU) de Microsoft intervino la operación cibercriminal, incautando 338 sitios web y cuentas de Worker asociadas a RaccoonO365.

El grupo cibercriminal detrás de este servicio, rastreado por Microsoft como Storm-2246, ha robado al menos 5,000 credenciales de Microsoft desde julio de 2024, afectando a 94 países. RaccoonO365 utilizaba kits de phishing que incorporaban páginas CAPTCHA y técnicas anti-bot para aparentar legitimidad y evadir el análisis.

Por ejemplo, en abril de 2025, una campaña masiva de phishing con temática de impuestos, dirigida a más de 2,300 organizaciones en Estados Unidos, utilizó estos kits. Adicionalmente, se detectaron ataques dirigidos a más de 20 organizaciones de salud en EE. UU.

Las credenciales, cookies y otros datos robados de las cuentas de OneDrive, SharePoint y correo electrónico de las víctimas fueron empleados posteriormente en intentos de fraude financiero, ataques de extorsión o como acceso inicial a otros sistemas.

Según Steven Masada, Asistente del Asesor General de la Unidad de Delitos Digitales de Microsoft, los correos electrónicos de phishing de RaccoonO365 a menudo son precursores de malware y ransomware, con graves consecuencias para los hospitales, incluyendo retrasos en servicios, cancelación de atenciones críticas, compromiso de resultados de laboratorio y brechas de datos sensibles, generando importantes pérdidas económicas e impacto directo en pacientes.

RaccoonO365 ofrecía kits de phishing basados en suscripción a través de un canal privado de Telegram, que contaba con más de 840 miembros hasta el 25 de agosto de 2025. Los precios oscilaban entre $355 por un plan de 30 días y $999 por una suscripción de 90 días, pagaderos en criptomonedas USDT (TRC20, BEP20, Polygon) o Bitcoin (BTC).

Microsoft estima que el grupo ha recibido al menos $100,000 en pagos de criptomonedas hasta el momento, lo que sugiere que hay aproximadamente entre 100 y 200 suscripciones; sin embargo, el número real de suscripciones vendidas es probablemente mucho mayor.

La investigación de la DCU de Microsoft reveló que el líder de RaccoonO365 es Joshua Ogundipe, residente en Nigeria. Cloudflare también sugiere una colaboración entre RaccoonO365 y ciberdelincuentes de habla rusa, basándose en el uso del ruso en el nombre del bot de Telegram.

Microsoft determinó que Ogundipe tiene experiencia en programación y se cree que ha escrito la mayor parte del código. Un error de seguridad operativa por parte de los actores de la amenaza, que reveló inadvertidamente una billetera secreta de criptomonedas, ayudó a la DCU a atribuir y comprender sus operaciones. Se ha enviado una denuncia penal contra Ogundipe a las autoridades policiales internacionales.

En INGENIERÍA TELEMÁTICA SAS, somos conscientes del peligro que representan campañas de phishing como RaccoonO365 para la seguridad de su información y la continuidad de su negocio. Le invitamos a contactarnos a través de nuestro formulario de contacto o por los medios habituales si ya es cliente, para evaluar su nivel de protección actual y explorar cómo nuestras soluciones de protección de correo electrónico, firewall, FortiAnalyzer, FortiManager, FortiSwitch, FortiAP y EDR/XDR pueden fortalecer su defensa contra estas amenazas.

Fuente original: Ver aquí