Actif depuis un peu plus d'un an, RaccoonO365s’était imposé comme l’un des services de phishing les plus dangereux pour les comptes Microsoft 365.
Début septembre, une opération conjointe a frappé RaccoonO365, l’une des plateformes de Phishing-as-a-Service (PhaaS) les plus actives du moment. Avec l’appui d’une décision de justice new-yorkaise, Microsoft a confirmé avoir saisi 338 sites web malveillants, tandis que Cloudflare a démantelé l'infrastructure que le groupe exploitait sur son réseau pour dissimuler ses serveurs et échapper aux analyses forensiques. Ce service, vendu par abonnement via Telegram, proposait des kits de phishing clé en main, capables d’imiter les mails et pages de Microsoft pour dérober identifiants, cookies de session et données de comptes.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
RaccoonO365, la machine qui a industrialisé le vol d’identifiants Microsoft
Selon les éléments publiés par Microsoft et Cloudflare, RaccoonO365, désigné en interne sous le nom Storm-2246, s’était imposé en quelques mois comme un service de phishing particulièrement lucratif. Repéré pour la première fois en juillet 2024, il proposait des abonnements donnant accès à un tableau de bord, à des modèles de mails usurpant l’identité de Microsoft et à des pages de connexion capables d’intercepter mots de passe, cookies de session et documents stockés dans OneDrive, SharePoint ou Outlook.
Dans le détail, les opérateurs administraient un canal Telegram déjà fréquenté par plus de 850 membres et facturaient leurs offres en cryptomonnaie. Le succès de ce kit « prêt à l’emploi », proposé entre 355 dollars pour un mois et 999 dollars pour trois mois, leur avait déjà permis d’encaisser plus de 100 000 dollars – un chiffre que Microsoft juge probablement en dessous de la réalité.
Les acheteurs pouvaient ensuite cibler jusqu’à 9 000 adresses par jour et, dans certains cas, contourner l’authentification multifacteur, ce qui représentait, sur une année, des centaines de millions de messages piégés. Le groupe avait par ailleurs récemment ajouté à son catalogue un module baptisé AI-MailCheck, présenté comme un moyen d’exploiter l’IA pour affiner la sélection des cibles et améliorer l’efficacité des attaques.
Un dispositif qui aura permis de siphonner au moins 5 000 identifiants Microsoft 365 depuis 2024 dans 94 pays, mais que les équipes de Remdond ont pu mettre à mal grâce à une erreur opérationnelle des cybercriminels, à l’origine de la fuite d’une adresse de portefeuille crypto utilisé pour encaisser les abonnements. Grâce à cette information et en s’appuyant sur des outils d’analyse de la blockchain, les enquêteurs ont ainsi pu tracer les transactions, relier l’activité du kit à des identités réelles, et remonter jusqu’à Joshua Ogundipe, développeur nigérian et auteur présumé du code, épaulé par des complices actifs sur Telegram. D’après Cloudflare, d’autres indices laissent par ailleurs penser que le groupe collaborait ponctuellement avec des cybercriminels russophones.
Vers des techniques de phishing toujours plus évoluées
S’il est une chose qu’il faut retenir de l’affaire RaccoonO365, c’est à quel point le phishing d’aujourd’hui n’a plus grand-chose à voir avec celui d’hier. Les plateformes dites PhaaS savent désormais mettre entre toutes les mains des techniques autrefois réservées à quelques spécialistes.
Par là même, si la saisie de centaines de domaines et la mise hors ligne d’une partie de l’infrastructure montrent qu’une riposte concertée peut sérieusement affaiblir ce genre de dispositif, l’expérience rappelle aussi que ces victoires sont souvent provisoires. Les campagnes frauduleuses de cette envergure reposent rarement sur un seul individu et le caractère éclaté de ces organisations facilite généralement leur reconstitution sous un autre nom.
Par conséquent, interdiction de baisser la garde. En entreprise, on renforce l’authentification avec des méthodes résistantes au phishing comme FIDO et les passkeys, on applique de vraies règles d’accès conditionnel selon la localisation, l’état des appareils et les déplacements improbables. Les filtres de messagerie se règlent finement et s’accompagnent d’une politique DMARC, SPF et DKIM bien appliquée. Côté navigation, un filtrage DNS et une passerelle web mettent à distance les domaines fraîchement créés et suspects, l’isolation du navigateur fait écran sur les catégories à risque. Quand une alerte tombe, on révoque d’office cookies de session et jetons OAuth, on réinitialise les mots de passe, et on surveille les consentements d’applications. Le reste tient à l’humain avec des simulations régulières et une culture de la vigilance sans blâme.
Même combat côté particuliers. Activez la double authentification ou, mieux, des passkeys sur votre compte Microsoft, et ne vous connectez jamais depuis un lien reçu par mail ou PDF. Tapez l’adresse à la main ou passez par l’application officielle. Méfiez-vous des QR codes dans les pièces jointes et des pages qui ressemblent de trop près à la réalité. Laissez votre gestionnaire de mots de passe faire le tri, c’est un bon indicateur une page légitime propose l’autoremplissage, une page piégée non. Gardez système, navigateur et antivirus à jour, activez les alertes de sécurité Microsoft, vérifiez de temps en temps les sessions ouvertes et déconnectez celles que vous ne reconnaissez pas. Au moindre doute, changez le mot de passe et supprimez les sessions actives avant de vous reconnecter.
Sources : Microsoft, Cloudflare
