In samen­wer­king met Micro­soft hebben de Cloud­force One- en Trust and Safety-teams van Cloud­flare met succes de crimi­nele Phishing-as-a-Service (PhaaS)-organisatie RaccoonO365 ontman­teld. Een uitge­breide blog beschrijft de gecoör­di­neerde techni­sche en juridi­sche maatre­gelen die zijn genomen tegen een geavan­ceerde phishing­ope­ratie die gericht was op Micro­soft 365-inlog­ge­ge­vens. De Raccoon­O365-groep misbruikte Cloud­flare-services en andere infra­struc­tuur­pro­vi­ders om detectie van hun phishing­kits te voorkomen.

De reactie van Cloud­flare verte­gen­woor­digt een strate­gi­sche verschui­ving van reactieve, enkel­vou­dige domein­ver­wij­de­ringen naar een proac­tieve, groot­scha­lige ontman­te­ling gericht op het ontman­telen van de opera­ti­o­nele infra­struc­tuur van de actor op ons platform. Door begin september 2025 gecoör­di­neerde actie te onder­nemen, willen we de opera­ti­o­nele kosten van RaccoonO365 aanzien­lijk verhogen en een duide­lijke boodschap afgeven aan andere kwaad­wil­lenden: de gratis versie is te duur voor crimi­nele organisaties.

RaccoonO365 is een finan­cieel gedreven crimi­nele organi­satie die een PhaaS-model hanteert dat is ontworpen om Micro­soft 365-gebrui­kers breed te targeten, waardoor abonnees hun eigen campagnes voor het verza­melen van inlog­ge­ge­vens kunnen starten. Volgens Micro­soft zijn de kits van RaccoonO365 sinds juli 2024 gebruikt om minstens 5000 Micro­soft-inlog­ge­ge­vens uit 94 landen te stelen. De e‑mailberichten die naar slacht­of­fers worden verzonden, bevatten meestal een bijlage met een link of QR-code. De kwaad­aar­dige link leidt naar een pagina met een eenvou­dige CAPTCHA. Zodra de CAPTCHA is opgelost, wordt de gebruiker doorge­stuurd naar een valse Micro­soft O365-inlog­pa­gina die is ontworpen om inlog­ge­ge­vens te verza­melen. Als dit lukt, is dit vaak een voorbode van een malware- of ransomware-infectie.

De groep verkoopt abonne­menten op zijn ‘RaccoonO365 Suite’, via een privé Telegram-kanaal, dat op 25 augustus 2025 845 leden telde. Het platform werkt met een getrapt prijs­model met aanbie­dingen die zijn gestruc­tu­reerd om een ​​breed scala aan crimi­nelen aan te spreken, van korte­ter­mijn­tes­ters tot degenen die doorlo­pend campagnes voeren. Er zijn abonne­menten met verschil­lende looptijden, zoals een 30-dagenabon­ne­ment voor $ 355 en een 90-dagenabon­ne­ment voor $ 999. De dienst accep­teert uitslui­tend crypt­ova­luta, waaronder USDT (TRC20, BEP20, Polygon) en Bitcoin (BTC).

Meer infor­matie is te lezen in de blog van Cloud­flare en de blog van Micro­soft.