Cloudflare neemt deel aan wereldwijde operatie om RaccoonO365 te verstoren
In samenwerking met Microsoft hebben de Cloudforce One- en Trust and Safety-teams van Cloudflare met succes de criminele Phishing-as-a-Service (PhaaS)-organisatie RaccoonO365 ontmanteld.
Een uitgebreide blog beschrijft de gecoördineerde technische en juridische maatregelen die zijn genomen tegen een geavanceerde phishingoperatie die gericht was op Microsoft 365-inloggegevens. De RaccoonO365-groep misbruikte Cloudflare-services en andere infrastructuurproviders om detectie van hun phishingkits te voorkomen.
De reactie van Cloudflare vertegenwoordigt een strategische verschuiving van reactieve, enkelvoudige domeinverwijderingen naar een proactieve, grootschalige ontmanteling gericht op het ontmantelen van de operationele infrastructuur van de actor op ons platform. Door begin september 2025 gecoördineerde actie te ondernemen, willen we de operationele kosten van RaccoonO365 aanzienlijk verhogen en een duidelijke boodschap afgeven aan andere kwaadwillenden: de gratis versie is te duur voor criminele organisaties.
RaccoonO365 is een financieel gedreven criminele organisatie die een PhaaS-model hanteert dat is ontworpen om Microsoft 365-gebruikers breed te targeten, waardoor abonnees hun eigen campagnes voor het verzamelen van inloggegevens kunnen starten. Volgens Microsoft zijn de kits van RaccoonO365 sinds juli 2024 gebruikt om minstens 5000 Microsoft-inloggegevens uit 94 landen te stelen. De e-mailberichten die naar slachtoffers worden verzonden, bevatten meestal een bijlage met een link of QR-code. De kwaadaardige link leidt naar een pagina met een eenvoudige CAPTCHA. Zodra de CAPTCHA is opgelost, wordt de gebruiker doorgestuurd naar een valse Microsoft O365-inlogpagina die is ontworpen om inloggegevens te verzamelen. Als dit lukt, is dit vaak een voorbode van een malware- of ransomware-infectie.
De groep verkoopt abonnementen op zijn ‘RaccoonO365 Suite’, via een privé Telegram-kanaal, dat op 25 augustus 2025 845 leden telde. Het platform werkt met een getrapt prijsmodel met aanbiedingen die zijn gestructureerd om een breed scala aan criminelen aan te spreken, van kortetermijntesters tot degenen die doorlopend campagnes voeren. Er zijn abonnementen met verschillende looptijden, zoals een 30-dagenabonnement voor $ 355 en een 90-dagenabonnement voor $ 999. De dienst accepteert uitsluitend cryptovaluta, waaronder USDT (TRC20, BEP20, Polygon) en Bitcoin (BTC).
Meer informatie is te lezen in de blog van Cloudflare en de blog van Microsoft.
Meer over
Lees ook
Apparition d'un nouveau spyware pour iPhone
Un groupe de hackers actifs dans l'espionnage de fonctionnaires publics, personnel de la défense et journalistes s'intéresse toujours plus à l'iPhone. Pour preuve, un nouveau spyware émanant de cette organisation infecte les iPhone et communique des données personnelles au serveur des pirates. Trend Micro met en garde contre cette nouvelle forme de spyware baptisé XAgent. Ce spyware est présenté aux victimes sous la forme d'une attaque de phishing (hameçonnage) par le biais d'une technique connue sous le nom de 'island hopping'. En l'occurrence, les pirates s'attaquent par priorité aux amis,1
Nieuwe spyware voor iPhone opgedoken
Een hackersgroep die zich bezig houdt op het bespioneren van overheidsfunctionarissen, defensiepersoneel en journalisten richt zich in toenemende mate op de iPhone. Nieuwe spyware van de groep is opgedoken die iPhones infecteert en persoonlijke informatie doorstuurt naar een server van de hackers. Trend Micro waarschuwt voor de nieuwe vorm van spy1