Cloudflare neemt deel aan wereldwijde operatie om RaccoonO365 te verstoren
In samenwerking met Microsoft hebben de Cloudforce One- en Trust and Safety-teams van Cloudflare met succes de criminele Phishing-as-a-Service (PhaaS)-organisatie RaccoonO365 ontmanteld.
Een uitgebreide blog beschrijft de gecoördineerde technische en juridische maatregelen die zijn genomen tegen een geavanceerde phishingoperatie die gericht was op Microsoft 365-inloggegevens. De RaccoonO365-groep misbruikte Cloudflare-services en andere infrastructuurproviders om detectie van hun phishingkits te voorkomen.
De reactie van Cloudflare vertegenwoordigt een strategische verschuiving van reactieve, enkelvoudige domeinverwijderingen naar een proactieve, grootschalige ontmanteling gericht op het ontmantelen van de operationele infrastructuur van de actor op ons platform. Door begin september 2025 gecoördineerde actie te ondernemen, willen we de operationele kosten van RaccoonO365 aanzienlijk verhogen en een duidelijke boodschap afgeven aan andere kwaadwillenden: de gratis versie is te duur voor criminele organisaties.
RaccoonO365 is een financieel gedreven criminele organisatie die een PhaaS-model hanteert dat is ontworpen om Microsoft 365-gebruikers breed te targeten, waardoor abonnees hun eigen campagnes voor het verzamelen van inloggegevens kunnen starten. Volgens Microsoft zijn de kits van RaccoonO365 sinds juli 2024 gebruikt om minstens 5000 Microsoft-inloggegevens uit 94 landen te stelen. De e-mailberichten die naar slachtoffers worden verzonden, bevatten meestal een bijlage met een link of QR-code. De kwaadaardige link leidt naar een pagina met een eenvoudige CAPTCHA. Zodra de CAPTCHA is opgelost, wordt de gebruiker doorgestuurd naar een valse Microsoft O365-inlogpagina die is ontworpen om inloggegevens te verzamelen. Als dit lukt, is dit vaak een voorbode van een malware- of ransomware-infectie.
De groep verkoopt abonnementen op zijn ‘RaccoonO365 Suite’, via een privé Telegram-kanaal, dat op 25 augustus 2025 845 leden telde. Het platform werkt met een getrapt prijsmodel met aanbiedingen die zijn gestructureerd om een breed scala aan criminelen aan te spreken, van kortetermijntesters tot degenen die doorlopend campagnes voeren. Er zijn abonnementen met verschillende looptijden, zoals een 30-dagenabonnement voor $ 355 en een 90-dagenabonnement voor $ 999. De dienst accepteert uitsluitend cryptovaluta, waaronder USDT (TRC20, BEP20, Polygon) en Bitcoin (BTC).
Meer informatie is te lezen in de blog van Cloudflare en de blog van Microsoft.
Meer over
Lees ook
Phishing kit CoGUI richt zich op Japanse bedrijven voor financieel gewin
Japanse autoriteiten hebben onlangs details gepubliceerd over een toename van phishingactiviteit gericht op financiële organisaties. Het doel van de dreigingsactoren is om toegang te krijgen tot de accounts van slachtoffers voor financieel gewin, en in de meeste gevallen om illegale winsten te gebruiken om Chinese aandelen te kopen.
AI-aangedreven muterende phishingcampagnes zijn in opmars, waarschuwt KnowBe4-rapport
Uit een nieuw onderzoek van KnowBe4 blijkt dat cybercriminelen veelvuldig gebruik maken van polymorfe phishingtechnieken, die aanwezig zijn in 76,4% van alle phishingcampagnes. Bij deze vorm van phishing wordt een e-mail, vaak met behulp van AI, telkens subtiel aangepast om zo beveiligingsfilters te omzeilen
Nieuw onderzoek van KnowBe4 toont aan dat online zelfoverschatting de werkplek kwetsbaar maakt
86% van de medewerkers denkt phishing met vertrouwen te herkennen. Toch is bijna de helft van hen al eens slachtoffer geworden van oplichtingspraktijken. Dit blijkt uit het rapport ‘Security Approaches Around the Globe: The Confidence Gap’ van KnowBe4.