L’opération mondiale a démantelé un service criminel dirigé par le Nigérian qui a généré des centaines de millions de courriels malveillants ciblant les titres de compétences en entreprise.
Microsoft et Cloudflare ont exécuté un «rugpull» coordonné contre l’une des opérations de phishing les plus sophistiquées au monde, saisissant 338 sites Web et démantant des infrastructures qui ont généré des centaines de millions de courriels malveillants ciblant les utilisateurs commerciaux à l’échelle mondiale.
L’opération conjointe a ciblé Raccoono365, que Microsoft suit en tant que Storm-2246, une entreprise criminelle dirigée par le Nigéria qui a transformé le vol d’identification en un service d’abonnement, selon le blog de Microsoft Digital Crimes Unit Blog. La plate-forme Phishing-As-A-Service a permis à quiconque de lancer des attaques dévastatrices contre les utilisateurs de Microsoft 365 sans nécessiter une expertise technique.
« Cette affaire montre que les cybercriminels n’ont pas besoin d’être sophistiqués pour causer des dommages généralisés – des outils simples comme Raccoono365 rendent la cybercriminalité accessible à pratiquement n’importe qui, ce qui met des millions d’utilisateurs en danger », a déclaré Microsoft en annonçant l’opération de retrait.
Entreprise criminelle construite pour l’échelle
Raccoono365 a fonctionné avec la sophistication d’une entreprise de technologie légitime, avec des plans de prix à plusieurs niveaux et un support client, a révélé l’enquête de Microsoft.
« Ceux-ci permettent à quiconque – même ceux qui ont peu de compétences techniques – de voler les informations d’identification Microsoft en imitant les communications officielles Microsoft », a ajouté Microsoft dans le blog.
Le service comptait 845 abonnés sur Telegram et collecté au moins 100 000 $ en paiements de crypto-monnaie, avec des plans d’abonnement allant de 355 $ pour 30 jours à 999 $ pour 90 jours.
Depuis juillet 2024, la plate-forme a facilité le vol d’au moins 5 000 informations d’identification Microsoft dans 94 pays, a rapporté Microsoft. Chaque abonnement a permis aux criminels de cibler jusqu’à 9 000 adresses e-mail quotidiennement, créant un effet de multiplication que les enquêteurs estiment générer des centaines de millions de messages malveillants par an. Plus dangereusement, Microsoft a constaté que le service pouvait contourner les protections d’authentification multi-facteurs pour voler des informations d’identification des utilisateurs et obtenir un accès persistant aux systèmes des victimes.
Selon Microsoft, les systèmes de soins de santé se sont révélés particulièrement vulnérables, avec des attaques documentées contre au moins 20 organisations américaines de soins de santé. Le ciblage était stratégique, car ces attaques servaient souvent de points d’entrée pour le déploiement des ransomwares qui peuvent arrêter les systèmes hospitaliers et mettre en danger des vies de patients.
La menace était suffisamment importante pour que Health-ISAC, un organisme à but non lucratif de la cybersécurité des soins de santé, ait rejoint Microsoft en tant que demandeur dans le cadre de l’action en justice, a ajouté le blog.
L’opération a également démontré son échelle grâce à une campagne de phishing sur le thème de l’impôt qui a ciblé plus de 2 300 organisations américaines plus tôt cette année, a rapporté Microsoft.
Victoire légale avec limites
L’enquête de Microsoft a identifié Joshua Ogundipe, basé au Nigéria, en tant que leader et architecte principal de l’opération. La société a intenté une action en justice contre Ogundipe et quatre associés répertoriés comme John Fin août, puis a obtenu une ordonnance du tribunal américain du tribunal de district américain pour le district sud de New York début septembre pour saisir les 338 sites Web associés à Raccoono365.
« Sur la base de l’analyse de Microsoft, Ogundipe a une formation en programmation informatique et aurait rédigé la majorité du code », a déclaré Microsoft.
Cependant, la victoire légale pourrait faire face à des limitations pratiques. Alors que le tribunal a accordé une ordonnance d’interdiction contre Ogundipe et ses associés, les défendeurs restent libres car l’ordonnance supporte peu de poids en dehors de la juridiction américaine. Microsoft a soumis une référence pénale pour Ogundipe aux forces de l’ordre internationales, mais les poursuites restent difficiles en raison de lacunes juridictionnelles.
Sophistication technique et retrait
L’analyse de Microsoft a montré que Raccoono365 employait des techniques d’évasion avancées et a récemment commencé à annoncer un service propulsé par l’IA appelé «Raccoono365 AI-Mailcheck» conçu pour faire évoluer les opérations et augmenter l’efficacité des attaques. Les criminels ont utilisé des méthodes sophistiquées pour contourner les mesures de sécurité et éviter la détection des chercheurs et des systèmes automatisés.
La perturbation coordonnée a commencé le 2 septembre 2025, Microsoft poursuivant sa stratégie juridique tandis que CloudFlare a exécuté ce qu’il a appelé un «rugpull» stratégique. L’analyse de Cloudflare a montré que les criminels avaient stratégiquement déployé les travailleurs de Cloudflare comme une couche intermédiaire pour protéger leurs serveurs de phishing backend.
« L’objectif ultime de l’acteur était de fournir aux abonnés des informations d’identification, des cookies et des données des comptes de victimes (y compris OneDrive, SharePoint et Email), ce qui pourrait ensuite permettre une fraude financière, une extorsion ou servir d’accès initial à des attaques plus importantes », a déclaré Cloudflare dans son analyse.
Cloudflare a systématiquement démédé l’infrastructure de Raccoono365 sur trois jours, mettant fin à des dizaines de comptes de travailleurs et en plaçant des pages de «avertissement de phish» devant tous les domaines identifiés. Face à l’effondrement des infrastructures, les criminels ont désespérément affiché désespérément le télégramme le 5 septembre, tentant de recadrer la perturbation en tant que «renaissance» planifiée.
Le retrait a été déclaré complet le 8 septembre, a ajouté Cloudflare dans le rapport.
Défi de la cybercriminalité industrialisée
Le cas Raccoono365 illustre ce que Microsoft appelle «une nouvelle phase troublante de la cybercriminalité où les escroqueries et les menaces sont susceptibles de se multiplier de façon exponentielle». Microsoft a noté que le développement rapide, le marketing et l’accessibilité de services comme Raccoono365 indiquent que la cybercriminalité est industrialisée, les modèles d’abonnement rendant les attaques avancées accessibles, quelle que soit la compétence technique.
Le retrait réussi a obligé Microsoft à intégrer de nouveaux outils dans ses enquêtes.
« Par exemple, nous intégrons des outils d’analyse de la blockchain comme Chainaly Reactor dans nos enquêtes », a déclaré Steven Masada, avocat adjoint de l’unité des crimes numériques de Microsoft, dans le blog. «Celles-ci nous aident à retracer les transactions de crypto-monnaie des criminels, liant l’activité en ligne à de réelles identités pour des preuves plus fortes.»
Cependant, Microsoft a reconnu que des défis importants demeurent.
« Le patchwork de lois internationales d’aujourd’hui reste un obstacle majeur et les cybercriminels exploitent ces lacunes », a déclaré la société. «Les gouvernements doivent travailler ensemble pour aligner leurs lois sur la cybercriminalité, accélérer les poursuites transfrontalières et combler les lacunes qui permettent aux criminels opérer en toute impunité», a averti Microsoft, affirmant que le dépôt du procès n’était que le début, car la société s’attend à ce que les acteurs tentent de reconstruire leurs opérations.
