En una operación conjunta entre Microsoft y Cloudflare, ha sido desmantelado RaccoonO365, un servicio de Phishing-as-a-Service (PhaaS). Este servicio permitía a ciberdelincuentes robar credenciales de Microsoft 365, afectando el acceso a plataformas como OneDrive, SharePoint y el correo electrónico.
La operación, que se llevó a cabo a principios de septiembre de 2025, logró decomisar 338 sitios web y cuentas ligadas al servicio. Se estima que, desde julio de 2024, RaccoonO365 había robado al menos 5,000 credenciales en 94 países.
Técnicas y modus operandi
Los kits de phishing de RaccoonO365 eran sofisticados y estaban diseñados para evadir la detección automática. Venían equipados con páginas CAPTCHA y sistemas anti-bots para parecer legítimos.
El grupo, que Microsoft identifica como Storm-2246, utilizó campañas temáticas para sus ataques. Por ejemplo, en abril de 2025, lanzó una campaña de phishing con temática de impuestos que afectó a más de 2,300 organizaciones en Estados Unidos. También se han documentado ataques contra más de 20 organizaciones del sector de la salud.
Los datos robados, incluyendo credenciales y cookies, se usaban para fraudes financieros, extorsión y para infiltrarse en los sistemas de otras víctimas.
Responsables y escala del daño
Microsoft identificó al líder de RaccoonO365 como Joshua Ogundipe, de Nigeria, quien se cree que escribió gran parte del código. Un error operacional de Ogundipe fue crucial para su identificación: se filtró una billetera de criptomonedas, lo que permitió a los investigadores rastrear sus transacciones. También se descubrió que el grupo tiene colaboradores de habla rusa, ya que algunos componentes del servicio usan nombres o lenguaje en ese idioma.
El servicio operaba a nivel global con un modelo de suscripción, con planes de 30 a 90 días con precios de entre US355yUS999, pagados con criptomonedas. Se estima que RaccoonO365 obtuvo al menos US$100,000 en ingresos, lo que demuestra la cantidad de clientes que utilizaban este servicio malicioso.
Impacto en el sector de la salud
Microsoft advirtió que los ataques de phishing con estos kits a menudo preceden a ataques de mayor escala, como malware o ransomware. Para el sector de la salud, esto puede tener consecuencias directas, como demoras en servicios críticos, filtraciones de datos de pacientes y alteraciones en procesos de laboratorio.
Recomendaciones
- Asegura la autenticación multifactor (MFA): Asegúrate de que todos los accesos a Microsoft 365 utilicen MFA, idealmente con métodos resistentes, no solo SMS.
- Educa al personal: Capacita a tus empleados para que identifiquen dominios falsos, eviten hacer clic en enlaces sospechosos y confirmen siempre la legitimidad de los sitios de inicio de sesión.
- Usa herramientas de seguridad: Implementa soluciones que verifiquen enlaces en correos electrónicos, utilicen sandboxing para páginas web y empleen filtros avanzados.
- Responde de inmediato a incidentes: Si sospechas que una cuenta fue afectada, cambia la contraseña inmediatamente y revoca las cookies y sesiones activas.
