Un nigeriano. 5.000 víctimas en todo el mundo. Microsoft desenmascaró al misterioso «genio».

Microsoft junto con Cloudflare llevaron a cabo una operación a gran escala contra RaccoonO365 — un servicio que operaba con el modelo PhaaS (Phishing-as-a-Service) y que se utilizó activamente para robar credenciales de Microsoft 365 en todo el mundo. Como resultado de las acciones coordinadas se incautaron 338 dominios, lo que permitió interrumpir la infraestructura de los delincuentes y limitar el acceso a los datos de las víctimas. Según la Unidad de Delitos Digitales de Microsoft (DCU), solo desde julio de 2024 los estafadores robaron más de 5.000 cuentas de usuarios en 94 países.

El tribunal emitió una orden con base en la cual Microsoft y Cloudflare comenzaron el bloqueo. La primera oleada tuvo lugar el 2 de septiembre de 2025, y el 8 de septiembre la operación ya estaba completamente terminada: los dominios fueron bloqueados, en las páginas aparecieron advertencias sobre phishing, los scripts de Cloudflare Workers fueron desactivados y las cuentas de los delincuentes quedaron congeladas. La compañía señaló que esto es un paso desde acciones puntuales hacia la destrucción a gran escala de la infraestructura que servía a los clientes de RaccoonO365.

Según la clasificación de Microsoft, el grupo recibió el nombre Storm-2246. Su servicio se ofrecía por suscripción: por 30 días el acceso costaba 355 dólares, por 90 — 999 dólares. Los organizadores prometían a los arrendatarios alojamiento fiable en VPS «a prueba de balas» sin puertas traseras ocultas y posicionaban la herramienta como «una solución para actores serios». Desde septiembre de 2024, mediante RaccoonO365 se llevaron a cabo ataques que se hacían pasar por mensajes de compañías conocidas — Microsoft, DocuSign, Adobe, SharePoint, Maersk. Los correos conducían a páginas falsas donde a las víctimas se les interceptaban los inicios de sesión y las contraseñas. Estos ataques con frecuencia servían como fase preparatoria para la instalación de software malicioso y el posterior lanzamiento de ransomware.

Un desafío particular para la defensa fue el uso de funciones legítimas de Cloudflare: la verificación CAPTCHA mediante Turnstile y scripts para filtrar el tráfico automatizado. Ese enfoque permitía descartar comprobaciones indeseadas por parte de investigadores y garantizar el acceso solo a los destinatarios «objetivo» del envío. En abril de 2025, Microsoft registró campañas relacionadas con el envío de notificaciones fiscales y la distribución de Latrodectus, AHKBot, GuLoader y BruteRatel C4; al mismo tiempo, la infraestructura de los ataques también se basaba en RaccoonO365.

Según la compañía, solo en Estados Unidos resultaron afectadas más de 2.300 organizaciones, entre ellas alrededor de 20 centros médicos. Los clientes del servicio podían atacar hasta 9.000 direcciones al día y emplear técnicas para eludir la autenticación multifactor, lo que aseguraba una presencia prolongada en sistemas comprometidos. Recientemente los operadores lanzaron el complemento AI-MailCheck, en el que declararon usar inteligencia artificial para aumentar la eficacia de los ataques.

Microsoft relaciona la creación y promoción de RaccoonO365 con el ciudadano nigeriano Joshua Ogundipe, cuyo nombre salió a la luz por un error en las operaciones de OpSec, cuando se descubrió una billetera de criptomonedas con pagos. Según los cálculos, los delincuentes recibieron más de 100.000 dólares en moneda digital, vendiendo entre 100 y 200 suscripciones. La publicidad se hacía a través de un canal de Telegram con más de 850 suscriptores. Ogundipe y sus colaboradores más cercanos siguen en libertad, pero la compañía ya entregó la información sobre él a las autoridades internacionales.

Cloudflare subrayó que la eliminación de cientos de dominios y cuentas relacionadas tiene como objetivo no solo aumentar los costos para RaccoonO365, sino también demostrar a otros delincuentes que los intentos de usar la infraestructura de la compañía para ataques no quedarán impunes. Tras la operación, los administradores del servicio anunciaron el cambio a nuevos enlaces y prometieron a los clientes afectados una semana adicional de acceso como compensación.