Microsoft desmantela imperio de phishing Raccoon0365 en operación global

Microsoft ha ejecutado un desmantelamiento global integral de la operación de phishing como servicio (PhaaS) Raccoon0365, eliminando una sofisticada empresa criminal que comprometió miles de credenciales de usuarios en todo el mundo. La operación resultó en la incautación de 340 dominios maliciosos que se utilizaban activamente para alojar páginas de inicio de sesión fraudulentas de Microsoft 365.

El servicio Raccoon0365 operaba como una plataforma criminal basada en suscripción, distribuida principalmente a través de canales de Telegram dirigidos a ciberdelincuentes de habla inglesa. Por una tarifa mensual que oscilaba entre 50 y 150 dólares, los suscriptores obtenían acceso a kits de phishing personalizables, servicios de alojamiento y herramientas automatizadas de recolección de credenciales. La infraestructura del servicio era notablemente sofisticada, con balanceo de carga entre múltiples dominios para mantener la persistencia y evadir la detección.

Según la Unidad de Crímenes Digitales de Microsoft, la operación con base en Nigeria había estado activa desde al menos principios de 2024 y había comprometido credenciales de organizaciones de servicios financieros, atención médica, agencias gubernamentales y sectores manufactureros. Las campañas de phishing se dirigían específicamente a usuarios de Microsoft 365, creando páginas de inicio de sesión réplica convincentes que capturaban nombres de usuario, contraseñas y códigos de autenticación multifactor.

La investigación técnica reveló que Raccoon0365 empleaba técnicas avanzadas de evasión, incluidos algoritmos de generación de dominios, suplantación de certificados SSL y redireccionamiento basado en geolocalización. Los operadores del servicio mantenían un sistema de atención al cliente de aspecto profesional a través de Telegram, proporcionando asistencia técnica a los suscriptores e incluso ofreciendo garantías de devolución de dinero para clientes insatisfechos.

La operación de desmantelamiento de Microsoft se coordinó a través del tribunal del Distrito Norte de Georgia, que concedió la autoridad para incautar el control de los dominios maliciosos. Cloudflare desempeñó un papel crucial en la operación al proporcionar análisis de infraestructura y apoyar el proceso de incautación de dominios. La colaboración demuestra la creciente efectividad de las alianzas público-privadas en la lucha contra el cibercrimen.

El impacto de este desmantelamiento va más allá de la interrupción inmediata de Raccoon0365. Los investigadores de seguridad han señalado que las plataformas PhaaS como Raccoon0365 reducen significativamente las barreras de entrada para los ciberdelincuentes, permitiendo que incluso actores de amenazas técnicamente poco sofisticados lancen campañas de phishing efectivas. El modelo de suscripción del servicio atraía particularmente a marketers de afiliación y ciberdelincuentes de bajo nivel que carecían de las habilidades técnicas para desarrollar su propia infraestructura de phishing.

Microsoft ha notificado a las organizaciones afectadas a través de su plataforma Microsoft Defender Threat Intelligence y recomienda que todas las organizaciones implementen políticas de acceso condicional, apliquen la autenticación multifactor y realicen formación regular en concienciación sobre seguridad. La compañía también aconseja monitorizar los intentos de autenticación sospechosos e implementar autenticación sin contraseña cuando sea posible.

Esta operación representa la más reciente de una serie de desmantelamientos exitosos dirigidos a infraestructuras criminales. Sin embargo, los expertos en seguridad advierten que el ecosistema PhaaS sigue siendo altamente resiliente, y es probable que surjan nuevos servicios para llenar el vacío dejado por la interrupción de Raccoon0365. La comunidad de ciberseguridad debe mantener la vigilancia y continuar desarrollando capacidades avanzadas de detección para combatir el panorama de amenazas de phishing en evolución.

El caso de estudio de Raccoon0365 proporciona información valiosa sobre la economía del cibercrimen, demostrando cómo las empresas criminales están adoptando modelos de negocio similares a los proveedores legítimos de software como servicio. Esta tendencia hacia la profesionalización de las herramientas de cibercrimen requiere estrategias de defensa igualmente sofisticadas y una mayor cooperación internacional entre agencias de aplicación de la ley.