La unidad de delitos digitales de Microsoft dijo que se asoció con CloudFlare para coordinar la convulsión de 338 dominios utilizados por Raccoono365un grupo de amenazas de motivación financiera que estaba detrás de un kit de herramientas de phishing como servicio (PHAAS) utilizado para robar más de 5,000 credenciales de Microsoft 365 de 94 países desde julio de 2024.
«Utilizando una orden judicial otorgada por el Distrito Sur de Nueva York, la DCU incautó 338 sitios web asociados con el servicio popular, interrumpiendo la infraestructura técnica de la operación y reduciendo el acceso de los delincuentes a las víctimas», dijo Steven Masada, asesor general asistente de DCU.
«Este caso muestra que los cibercriminales no necesitan ser sofisticados para causar un daño generalizado: herramientas simples como Raccoono365 hacen que el delito cibernético sea accesible para prácticamente cualquier persona, poniendo en riesgo a millones de usuarios».
La fase inicial del derribo de Cloudflare comenzó el 2 de septiembre de 2025, con acciones adicionales que ocurrieron el 3 de septiembre y el 4 de septiembre. Esto incluyó prohibir todos los dominios identificados, colocar páginas intersticiales de «advertencia PHISH» frente a ellos, terminando los guiones de los trabajadores asociados y suspender las cuentas de los usuarios. Los esfuerzos se completaron el 8 de septiembre.
Rastreado por el fabricante de Windows bajo el nombre de Storm-2246, Raccoono365 se comercializa a otros ciberdelincuentes bajo un modelo de suscripción, lo que les permite montar phishing y recolección de credenciales a escala con poca o ninguna experiencia técnica. Un plan de 30 días cuesta $ 355, y un plan de 90 días tiene un precio de $ 999.
Los operadores también afirman que la herramienta está alojada en servidores privados virtuales a prueba de balas sin traseros ocultos (a diferencia de, digamos, BulletProoflink), y que está «construido solo para jugadores serios, sin librería de bajo presupuesto».
Según Morado, las campañas que usan Raccoono365 han estado activas desde septiembre de 2024. Estos ataques generalmente imitan a marcas de confianza como Microsoft, Docusign, SharePoint, Adobe y Maersk en correos electrónicos fraudulentos, engañándolos para que haga clic en las páginas Lookalike que están diseñadas para capturar los usernames y contraseñas de Microsoft 365 de Victims. Los correos electrónicos de phishing son a menudo un precursor del malware y el ransomware.
El aspecto más preocupante, desde el punto de vista de un defensor, es el uso de herramientas legítimas como Cloudflare Turnstile como Captcha, así como la implementación de la detección de bot e automatización utilizando un guión de trabajadores de Cloudflare para proteger sus páginas de phishing, asegurándose de que solo los objetivos previstos del ataque puedan acceder e interactuar con ellos.
A principios de abril, la compañía con sede en Redmond advirtió que varias campañas de phishing aprovechan temas relacionados con los impuestos para desplegar malware como Latrodectus, Ahkbot, Guloader y Bruteratel C4 (BRC4). Las páginas de phishing, agregó, se entregaron a través de Raccoono365, con una de esas campañas atribuidas a un corredor de acceso inicial llamado Storm-0249.
Las campañas de phishing han dirigido a más de 2.300 organizaciones en los Estados Unidos, incluidas al menos 20 entidades de atención médica de los Estados Unidos.
«Utilizando los servicios de Raccoono365, los clientes pueden ingresar hasta 9,000 direcciones de correo electrónico objetivo por día y emplear técnicas sofisticadas para eludir las protecciones de autenticación de varios factores para robar credenciales de los usuarios y obtener acceso persistente a los sistemas de víctimas», dijo Microsoft.
«Más recientemente, el grupo comenzó a anunciar un nuevo servicio con IA, Raccoono365 AI-Mailcheck, diseñado para escalar las operaciones y aumentar la sofisticación y la efectividad de los ataques».
Se evalúa que el autor intelectual detrás de Raccoono365 es Joshua Ogundipe, un individuo con sede en Nigeria, quien, junto con sus asociados, ha anunciado la herramienta en un canal de telegrama fuerte de 850 miembros, que recibe no menos de $ 100,000 en pagos de criptomonedas. Se cree que el grupo de delitos electrónicos vendió alrededor de 100-200 suscripciones, aunque Microsoft advirtió que probablemente sea una subestimación.
El gigante tecnológico dijo que pudo hacer la atribución cortesía de un lapso de seguridad operativo que inadvertidamente expuso una billetera secreta de criptomonedas. Ogundipe y otros cuatro conspiradores permanecen actualmente en libertad, pero Microsoft señaló que se ha enviado una referencia penal para Ogundipe a la policía internacional.
Cloudflare, en su propio análisis del servicio PHAAS, dijo que el derribo de cientos de dominios y cuentas de trabajadores tiene como objetivo aumentar los costos operativos y enviar una advertencia a otros actores maliciosos que pueden abusar de su infraestructura con fines maliciosos.
Desde la interrupción, los actores de amenaza han anunciado que están «desechando todos los enlaces heredados de raccoono365», instando a sus clientes que pagaron una suscripción de 1 mes a cambiar a un nuevo plan. El grupo también dijo que compensará a los afectados al ofrecer «una semana adicional de suscripción» después de la actualización.
La «respuesta representa un cambio estratégico de los derribos reactivos de dominio único a una interrupción proactiva a gran escala destinada a desmantelar la infraestructura operativa del actor en nuestra plataforma», dijo Cloudflare.