Underc0de - La Casa de los Informáticos

El cibercrimen sigue evolucionando, y una de sus ramas más peligrosas es el Phishing-as-a-Service (PhaaS), donde los atacantes ofrecen kits listos para ejecutar campañas maliciosas a gran escala. En septiembre de 2025, Microsoft y Cloudflare lograron un golpe estratégico al interrumpir una de las operaciones de PhaaS más grandes de los últimos años: RaccoonO365. Este servicio ayudó a ciberdelincuentes a robar miles de credenciales de Microsoft 365, afectando a organizaciones de sectores críticos como la salud y las finanzas.

¿Qué es RaccoonO365?

RaccoonO365 era una plataforma de phishing bajo suscripción diseñada específicamente para atacar a usuarios y empresas que utilizaban servicios de Microsoft 365. El grupo criminal detrás de esta operación, identificado por Microsoft como Storm-2246, alquilaba sus kits de phishing en un canal privado de Telegram con más de 840 miembros activos.

Los kits de phishing de RaccoonO365 se caracterizaban por:

• Uso de páginas CAPTCHA falsas, diseñadas para dar apariencia legítima.
• Técnicas anti-bot, que evitaban el análisis automatizado de seguridad.
• Diseños idénticos a los portales de Microsoft, lo que engañaba incluso a usuarios experimentados.

Gracias a estas técnicas, los atacantes pudieron robar más de 5,000 credenciales de Microsoft en 94 países, incluyendo accesos a OneDrive, SharePoint y correos electrónicos corporativos.

Una operación global interrumpida por Microsoft y Cloudflare

A principios de septiembre de 2025, la Unidad de Delitos Digitales (DCU) de Microsoft, en coordinación con los equipos Cloudforce One y Trust and Safety de Cloudflare, ejecutó una operación de desmantelamiento. El resultado fue la incautación de 338 sitios web maliciosos y cuentas de trabajadores vinculados a RaccoonO365.

Según Microsoft, esta intervención fue clave para proteger a miles de usuarios y empresas que estaban en la mira de los atacantes.

Un ejemplo claro del alcance de esta operación ocurrió en abril de 2025, cuando RaccoonO365 lanzó una campaña masiva de phishing con temática fiscal dirigida a más de 2,300 organizaciones en Estados Unidos. El ataque también se extendió al sector de la salud, impactando a más de 20 organizaciones hospitalarias en el país.

Consecuencias de las credenciales robadas

El robo de credenciales en este tipo de ataques no se limita al acceso inmediato. Los datos sustraídos por RaccoonO365 fueron utilizados en:

• Fraudes financieros mediante transferencias no autorizadas.
• Extorsiones cibernéticas, aprovechando información confidencial de empresas.
• Acceso inicial para otros ataques, incluyendo malware y ransomware.

Steven Masada, asesor general adjunto de la Unidad de Delitos Digitales de Microsoft, advirtió:

Citar"Los correos de phishing de RaccoonO365 son a menudo un precursor de malware y ransomware, lo que genera un impacto devastador en hospitales y organizaciones críticas".

Los efectos de estos ataques incluyen interrupciones en cuidados intensivos, retrasos en resultados de laboratorio, filtración de datos sensibles y pérdidas financieras millonarias.

El modelo de negocio de RaccoonO365

El atractivo de RaccoonO365 para los ciberdelincuentes residía en su modelo de suscripción PhaaS. Los precios variaban entre:

• USD 355 por un plan de 30 días.
• USD 999 por una suscripción de 90 días.

Los pagos se realizaban en criptomonedas como USDT (TRC20, BEP20, Polygon) y Bitcoin (BTC), lo que dificultaba el rastreo financiero.

Microsoft estima que el grupo obtuvo al menos USD 100,000 en pagos en criptomonedas, aunque el número real de suscripciones vendidas podría ser mucho mayor, probablemente entre 100 y 200 licencias activas al momento de la intervención.

Identidad del líder: Joshua Ogundipe

Durante la investigación, Microsoft DCU identificó al líder de RaccoonO365 como Joshua Ogundipe, residente en Nigeria. Según el análisis, Ogundipe posee experiencia en programación avanzada, y se cree que fue el autor principal del código utilizado en los kits de phishing.

Un error de seguridad operacional cometido por el grupo permitió rastrear una billetera secreta de criptomonedas, lo que facilitó a Microsoft vincular directamente a Ogundipe con la operación. Actualmente, se ha enviado una remisión penal a las fuerzas del orden internacionales para procesar al responsable.

Cloudflare también sospecha que el grupo mantiene colaboración con ciberdelincuentes de habla rusa, debido al uso del idioma ruso en su bot de Telegram.

Un paso más en la lucha contra el cibercrimen

Este no es el primer esfuerzo de Microsoft en la lucha contra el cibercrimen como servicio. En mayo de 2025, la compañía también incautó 2,300 dominios vinculados al malware Lumma, otro servicio basado en suscripción enfocado en el robo de información.

El desmantelamiento de RaccoonO365 representa un golpe contundente contra el ecosistema del phishing, pero también evidencia que el mercado del cibercrimen sigue creciendo mediante modelos de negocio similares a las suscripciones legítimas.

En fin...

La interrupción de RaccoonO365 por parte de Microsoft y Cloudflare es un ejemplo claro de cómo la colaboración internacional y el uso de inteligencia cibernética avanzada son esenciales para combatir las crecientes amenazas digitales.

Sin embargo, el caso también deja una advertencia: el phishing como servicio se ha convertido en una industria global que profesionaliza el cibercrimen, facilitando que atacantes sin grandes conocimientos técnicos puedan acceder a kits avanzados y lanzar campañas a gran escala.

Para empresas y usuarios, la lección es clara: reforzar la ciberseguridad, implementar autenticación multifactor y capacitar a los empleados en la detección de phishing son medidas imprescindibles para prevenir futuros ataques.

Fuente: https://www.bleepingcomputer.com/