Microsoft ha annunciato di aver smantellato una vasta infrastruttura criminale legata al servizio di phishing Raccoon0365, con base in Nigeria, che consentiva a utenti paganti di condurre attacchi mirati contro organizzazioni e privati. L'azienda di Redmond ha ottenuto dal tribunale federale di Manhattan un ordine per il sequestro di circa 340 domini web, utilizzati per ingannare le vittime inducendole a inserire le proprie credenziali su false pagine di accesso Microsoft.
UN SERVIZIO IN ABBONAMENTO ACCESSIBILE A TUTTISecondo Steven Masada, assistant general counsel della Digital Crimes Unit di Microsoft, Raccoon0365 operava come un vero e proprio servizio in abbonamento, con oltre 850 membri in un canale privato su Telegram. Attraverso il pagamento in criptovalute — almeno 100.000 dollari dal lancio, avvenuto nel luglio 2024 — gli iscritti potevano accedere a strumenti per impersonare brand noti e lanciare campagne massive di phishing, con migliaia di email inviate simultaneamente.
"I cybercriminali non devono essere particolarmente esperti per provocare gravi danni su larga scala", ha dichiarato Masada in un post sul blog ufficiale di Microsoft. "Strumenti semplici come Raccoon0365 rendono il cybercrimine accessibile praticamente a chiunque, mettendo a rischio milioni di utenti".
Microsoft traccia il servizio con il nome Storm-2246 e sottolinea che, dal luglio 2024, i kit di RaccoonO365 sono stati utilizzati per rubare almeno 5.000 credenziali in 94 Paesi. Ogni abbonato può gestire fino a 9.000 indirizzi email al giorno e utilizzare tecniche mirate ad aggirare l’autenticazione a più fattori.
Joshua Ogundipe, cittadino nigeriano, è stato identificato come leader e principale gestore del servizio. L'uomo non ha risposto alle richieste di commento inviate all'indirizzo email riportato nei documenti giudiziari. Ogundipe ha un background da programmatore e avrebbe scritto gran parte del codice. Insieme ad altri associati, organizzati con ruoli specifici nello sviluppo, nella vendita e nell’assistenza agli altri criminali, promuoveva e gestiva i servizi attraverso Telegram.
Secondo i documenti presentati in tribunale, una parte significativa delle attività di Raccoon0365 era diretta contro aziende di New York City. In un caso documentato, tra il 12 e il 28 febbraio 2025 sarebbero stati inviati messaggi di phishing a tema fiscale a oltre 2.300 organizzazioni statunitensi.
Il settore sanitario è stato uno dei più colpiti. Errol Weiss, chief security officer di Health-ISAC — co-querelante accanto a Microsoft — ha riferito che almeno cinque organizzazioni sanitarie sono già cadute vittime di campagne condotte tramite Raccoon0365, mentre in totale sarebbero stati presi di mira 25 soggetti del settore.
“Molti attacchi iniziano perché qualcuno ha ceduto nome utente e password a un criminale informatico”, ha spiegato Weiss in un'intervista. “Una volta che il cybercriminale ottiene l'accesso alla rete, le possibilità su cosa accada dopo e su come monetizzarlo sono praticamente illimitate”.
Secondo Microsoft, però, il numero di bersagli è ancora più ampio: almeno 20 organizzazioni sanitarie statunitensi hanno ricevuto attacchi. In questi casi le conseguenze sono particolarmente gravi, con ritardi nei servizi ai pazienti, cure critiche rimandate o annullate, compromissione di referti di laboratorio, violazioni di dati sensibili e pesanti perdite economiche. Recentemente, i gestori del servizio hanno iniziato a pubblicizzare un’estensione basata su intelligenza artificiale, RaccoonO365 AI-MailCheck, pensata per ampliare la portata delle campagne e renderle ancora più efficaci.
LA COLLABORAZIONE DI CLOUDFLARE E DELLE AUTORITÀ USAI gestori di Raccoon0365 si avvalevano dei servizi di Cloudflare per nascondere l'infrastruttura e mascherare i propri server. La stessa Cloudflare ha confermato, in un post dedicato, di aver collaborato con Microsoft e con il Secret Service statunitense per interrompere le attività della rete criminale e impedire la creazione di nuovi account.
Blake Darché, responsabile della threat intelligence di Cloudflare, ha spiegato che gli operatori di Raccoon0365 hanno commesso errori sul piano della sicurezza operativa, ma nonostante ciò si sono dimostrati estremamente efficaci: “Si introducono negli account degli utenti, compromettono tantissime persone, ed è evidente che devono essere fermati”.
Microsoft ha inoltre rivelato di utilizzare strumenti di analisi blockchain come Chainalysis Reactor per seguire le transazioni in criptovalute e collegarle a identità reali, con l’obiettivo di rafforzare le prove. Parallelamente, ha lanciato un appello ai governi affinché armonizzino le leggi sul cybercrime e rendano più rapidi i procedimenti transnazionali, denunciando che l’attuale frammentazione normativa permette ai criminali di agire impunemente.
L’azienda sottolinea infine che questa operazione dimostra quanto sia importante la collaborazione tra settore tecnologico, società civile e istituzioni governative. Solo unendo le competenze e le risorse di attori diversi è possibile colpire reti criminali sempre più globali e sofisticate.
The Wacom One, now one size bigger