Microsoft anunció el miércoles que ha emprendido una «acción legal coordinada» en EE.UU. y el Reino Unido para interrumpir un servicio de suscripción contra delitos cibernéticos llamado RedVDS que supuestamente ha generado millones en pérdidas por fraude.
El esfuerzo, según el gigante tecnológico, es parte de un esfuerzo más amplio de aplicación de la ley en colaboración con las autoridades policiales que le ha permitido confiscar la infraestructura maliciosa y desconectar el servicio ilegal (redvds(.)com, redvds(.)pro y vdspanel(.)space).
«Por tan solo 24 dólares al mes, RedVDS proporciona a los delincuentes acceso a computadoras virtuales desechables que hacen que el fraude sea barato, escalable y difícil de rastrear», dijo Steven Masada, asesor general adjunto de la Unidad de Delitos Digitales de Microsoft. «Desde marzo de 2025, la actividad habilitada por RedVDS ha generado aproximadamente 40 millones de dólares en pérdidas por fraude reportadas solo en los Estados Unidos».
Las ofertas de crimeware como servicio (CaaS) se han convertido cada vez más en un modelo de negocio lucrativo, transformando el cibercrimen de lo que alguna vez fue un dominio exclusivo que requería experiencia técnica a una economía sumergida donde incluso los actores de amenazas aspirantes e inexpertos pueden llevar a cabo ataques complejos rápidamente y a escala.
Estos servicios llave en mano abarcan un amplio espectro de herramientas modulares, que van desde kits de phishing hasta ladrones y ransomware, contribuyendo eficazmente a la profesionalización del ciberdelito y emergiendo como catalizador de ataques sofisticados.
Microsoft dijo que RedVDS se anunciaba como un servicio de suscripción en línea que proporciona computadoras virtuales baratas y desechables que ejecutan software sin licencia, incluido Windows, para empoderar y permitir a los delincuentes operar de forma anónima y enviar correos electrónicos de phishing de gran volumen, alojar infraestructuras fraudulentas, llevar a cabo esquemas de compromiso de correo electrónico empresarial (BEC), realizar apropiaciones de cuentas y facilitar el fraude financiero.
Específicamente, sirvió como un centro para comprar servidores de Protocolo de escritorio remoto (RDP) basados en Windows, económicos y sin licencia, con control total del administrador y sin límites de uso a través de una interfaz de usuario rica en funciones. RedVDS, además de proporcionar servidores ubicados en Canadá, EE. UU., Francia, Países Bajos, Alemania, Singapur y Reino Unido, también ofrecía un panel de revendedores para crear subusuarios y otorgarles acceso para administrar los servidores sin tener que compartir el acceso al sitio principal.
Una sección de preguntas frecuentes en el sitio web señaló que los usuarios pueden aprovechar su bot de Telegram para administrar sus servidores desde la aplicación Telegram en lugar de tener que iniciar sesión en el sitio. En particular, el servicio no mantenía registros de actividad, lo que lo convertía en una opción atractiva para uso ilícito.
Según instantáneas capturadas en Internet Archive, RedVDS se anunciaba como una forma de «aumentar su productividad y trabajar desde casa con comodidad y facilidad». El servicio, dijeron sus responsables en el sitio web ahora incautado, se fundó por primera vez en 2017 y operaba en Discord, ICQ y Telegram. El sitio web se lanzó en 2019.
«RedVDS se combina con frecuencia con herramientas de inteligencia artificial generativa que ayudan a identificar objetivos de alto valor más rápido y generar hilos de mensajes de correo electrónico multimedia más realistas que imitan correspondencias legítimas», dijo la compañía, y agregó que «observó que los atacantes aumentan aún más su engaño al aprovechar herramientas de inteligencia artificial de intercambio de rostros, manipulación de videos y clonación de voz para hacerse pasar por individuos y engañar a las víctimas».
 |
| Infraestructura de herramientas RedVDS |
Desde septiembre de 2025, se dice que los ataques impulsados por RedVDS han provocado el compromiso o el acceso fraudulento de más de 191.000 organizaciones en todo el mundo, lo que subraya el prolífico alcance del servicio.
El fabricante de Windows, que está rastreando al desarrollador y mantenedor de RedVDS bajo el nombre de Storm-2470, dijo que ha identificado una «red global de cibercriminales dispares» que aprovechan la infraestructura proporcionada por el mercado criminal para atacar múltiples sectores, incluidos el legal, la construcción, la manufactura, los bienes raíces, la atención médica y la educación en los EE. UU., Canadá, el Reino Unido, Francia, Alemania, Australia y países con importantes objetivos de infraestructura bancaria.
 |
| Cadena de ataque RedVDS |
Algunos de los actores de amenazas notables incluyen Storm-2227, Storm-1575, Storm-1747 y actores de phishing que utilizaron el kit de phishing RaccoonO365 antes de su interrupción en septiembre de 2025. La infraestructura se utilizó específicamente para alojar un conjunto de herramientas que comprende software malicioso y de doble uso.
- Herramientas de correo electrónico masivo de spam/phishing como SuperMailer, UltraMailer, BlueMail, SquadMailer y Email Sorter Pro/Ultimate
- Recolectores de direcciones de correo electrónico como Sky Email Extractor para extraer o validar una gran cantidad de direcciones de correo electrónico
- Herramientas de privacidad y OPSEC como Waterfox, Avast Secure Browser, Norton Private Browser, NordVPN y ExpressVPN
- Herramientas de acceso remoto como AnyDesk
Se dice que un actor de amenazas utilizó los hosts aprovisionados para enviar correos electrónicos mediante programación (y sin éxito) a través de Microsoft Power Automate (Flow) usando Excel, mientras que otros usuarios de RedVDS aprovecharon ChatGPT u otras herramientas de OpenAI para crear señuelos de phishing, recopilar inteligencia sobre los flujos de trabajo organizacionales para realizar fraudes y distribuir mensajes de phishing diseñados para recolectar credenciales y tomar el control de las cuentas de las víctimas.
 |
| Ofertas de RedVDS |
El objetivo final de estos ataques es montar estafas BEC altamente convincentes, permitiendo a los actores de amenazas intervenir en conversaciones de correo electrónico legítimas con proveedores y emitir facturas fraudulentas para engañar a los objetivos para que transfieran fondos a una cuenta mula bajo su control.
Curiosamente, sus Términos de servicio prohibían a los clientes usar RedVDS para enviar correos electrónicos de phishing, distribuir malware, transferir contenido ilegal, escanear sistemas en busca de vulnerabilidades de seguridad o participar en ataques de denegación de servicio (DoS). Esto sugiere el aparente esfuerzo de los actores de la amenaza por limitar o eludir la responsabilidad.
Microsoft dijo además que «identificó ataques que muestran miles de credenciales robadas, facturas robadas de organizaciones objetivo, envíos masivos de correo y kits de phishing, lo que indica que se crearon múltiples hosts de Windows a partir de la misma instalación base de Windows».
«Investigaciones adicionales revelaron que la mayoría de los hosts se crearon utilizando una única identificación de computadora, lo que significa que se usó la misma licencia Windows Eval 2022 para crear estos hosts. Al usar la licencia robada para crear imágenes, Storm-2470 proporcionó sus servicios a un costo sustancialmente menor, lo que lo hace atractivo para los actores de amenazas comprar o adquirir servicios RedVDS».
Los servidores virtuales en la nube de Windows se generaron a partir de una única imagen de Windows Server 2022, mediante RDP. Todas las instancias identificadas utilizaron el mismo nombre de computadora, WIN-BUNS25TD77J. Se evalúa que Storm-2470 creó una máquina virtual (VM) de Windows y la clonó repetidamente sin cambiar la identidad del sistema.
Las instancias clonadas de Windows se crean bajo demanda utilizando la tecnología de virtualización Quick Emulator (QEMU) combinada con controladores VirtIO, con un proceso automatizado que copia la imagen de la máquina virtual maestra (VM) en un nuevo host cada vez que se solicita un servidor a cambio de un pago en criptomonedas. Esta estrategia hizo posible poner en marcha nuevos hosts RDP en cuestión de minutos, lo que permitió a los ciberdelincuentes escalar sus operaciones.
«Los actores de amenazas utilizaron RedVDS porque proporcionaba un entorno altamente permisivo, de bajo costo y resistente donde podían lanzar y ocultar múltiples etapas de su operación», dijo Microsoft. «Una vez aprovisionados, estos hosts de Windows clonados brindaron a los actores una plataforma lista para usar para investigar objetivos, montar infraestructura de phishing, robar credenciales, secuestrar buzones de correo y ejecutar fraude financiero basado en suplantación de identidad con mínima fricción.