Cloudflare participa en una operación global para desmantelar RaccoonO365

Tabla de contenido

Descripción general

Resumen ejecutivo

Perfil del agente de amenaza: RaccoonO365

Análisis de campaña y detalle de amenazas

Vector de ataque

Infraestructura y herramientas de actores malintencionados

Iniciativas de interrupción

Recomendaciones

IOC

Descripción general

Junto con Microsoft, los equipos de Cloudforce One y de Confianza y Seguridad de Cloudflare lograron interrumpir las operaciones de la organización delictiva de Phishing como Servicio (PhaaS) conocida como RaccoonO365. Este informe detalla las acciones técnicas y legales coordinadas que se aplicaron contra una sofisticada operación de phishing que tenía como objetivo las credenciales de Microsoft 365. El grupo RaccoonO365 abusó de los servicios de Cloudflare y de otros proveedores de infraestructura para intentar evitar la detección de sus kits de phishing.

La respuesta de Cloudflare representa un cambio estratégico: de la eliminación reactiva de dominios individuales a una interrupción preventiva y a gran escala, orientada a desmantelar la infraestructura operativa del actor malicioso en nuestra plataforma.Al tomar medidas coordinadas a principios de septiembre de 2025, nuestro objetivo es aumentar significativamente los costos operativos de RaccoonO365 y enviar un mensaje claro a otros actores maliciosos: el nivel gratuito resulta demasiado costoso para las organizaciones delictivas.

Resumen ejecutivo

• Cloudflare, junto con Microsoft, ha tomado medidas contra RaccoonO365, una organización delictiva que ofrece un sofisticado servicio de phishing como servicio (PhaaS).

• El vector de ataque principal de la campaña fueron los kits de phishing diseñados para robar credenciales de Microsoft 365. Los kits utilizaban una página CAPTCHA simple y técnicas de protección contra bots para evadir el análisis y parecer legítimos ante las víctimas.

• El objetivo final del actor era brindar a los suscriptores credenciales robadas, cookies y datos de las cuentas de las víctimas (que incluyen OneDrive, SharePoint y correo electrónico), lo que podría permitir el fraude financiero, la extorsión o servir como acceso inicial para ataques de mayor magnitud.

• A principios de septiembre de 2025, en una iniciativa estratégica para prevenir este abuso de phishing en nuestros servicios, Cloudflare eliminó de manera coordinada cientos de dominios y cuentas de Worker relacionados con el actor, desmantelando efectivamente su infraestructura en nuestra red. Esta acción se coordinó con las iniciativas más amplias de Microsoft mediante una demanda civil presentada a finales de agosto.

• Este informe ofrece detalles técnicos de los TTP del actor, nuestra estrategia de mitigación e indicadores de compromiso (IOC) para ayudar a otros a defenderse de esta y otras amenazas similares.

¿Qué es RaccoonO365?

RaccoonO365 es una organización delictiva con motivaciones financieras que opera un modelo de PhaaS que se dirige ampliamente a los usuarios de Microsoft 365, lo que permite a los suscriptores lanzar sus propias campañas de robo de credenciales. Según Microsoft, desde julio de 2024, los kits RaccoonO365 se han utilizado para robar al menos 5000 credenciales de Microsoft en 94 países. Los mensajes de correo electrónico enviados a las víctimas suelen tener un archivo adjunto con un enlace o un código QR. El enlace malicioso lleva a una página con un CAPTCHA sencillo. Una vez que se resuelve el CAPTCHA, el usuario es redirigido a una página de inicio de sesión falsa de Microsoft O365 diseñada para recolectar credenciales. Si esta actividad resulta exitosa, suele ser una actividad precursora de una infección de malware o ransomware.

El grupo vende suscripciones a su "RaccoonO365 Suite" a través de un canal privado de Telegram, que al 25 de agosto de 2025 tenía 845 miembros. La plataforma opera bajo un modelo de precios escalonados, con ofertas diseñadas para atraer a distintos tipos de delincuentes, desde quienes hacen pruebas a corto plazo hasta aquellos que ejecutan campañas continuas.Los planes se venden con varios tipos de duraciones, como un plan de 30 días por $355 y un plan de 90 días por $999. El servicio acepta exclusivamente criptomonedas, que incluyen USDT (TRC20, BEP20, Polygon) y Bitcoin (BTC).

RaccoonO365 comercializa servicios delictivos con una lista de precios de apariencia profesional y acepta pagos en criptomonedas

RaccoonO365 promociona su servicio afirmando ser una operación totalmente gestionada, alojada en un “VPS a prueba de todo”, con “cero puertas traseras” y “cero seguimiento”, para garantizar a sus clientes con fines delictivos la seguridad y el anonimato del servicio. Ellos ejemplifican el modelo PhaaS al ofrecer un conjunto integral de herramientas y servicios que reducen la barrera de entrada para los ciberdelincuentes que buscan ejecutar campañas de phishing sofisticadas, incluida la capacidad de eludir la autenticación multifactor (MFA).

Portal público de la organización criminal RaccoonO365 que promociona un “servicio de enlace 2FA” para eludir las medidas de seguridad de Microsoft

Microsoft identificó al líder del grupo como Joshua Ogundipe, quien tiene su sede en Nigeria, mientras que pruebas como el uso del idioma ruso en el nombre de un bot de Telegram sugieren que el grupo también colaboró con ciberdelincuentes que hablan ruso.

Análisis de campaña y detalle de amenazas

Cadena de ataque

La cadena de ataque de RaccoonO365 está diseñada para operar con sigilo, eludir las medidas de seguridad y evitar despertar sospechas en los usuarios.

1. Señuelo inicial

RaccoonO365 utilizó varias técnicas diferentes de phishing. Observamos múltiples campañas de phishing de credenciales que suplantaban marcas de confianza como DocuSign, SharePoint, Adobe y Maersk. Por separado, identificamos múltiples campañas basadas en archivos PDF que utilizaron adjuntos y enlaces en formato de imagen como vectores de entrega. Estos archivos adjuntos contenían un código QR malicioso o una imagen en la que se puede hacer clic con un enlace incrustado para redirigir a las víctimas a las páginas de phishing.

Los correos electrónicos de phishing de RaccoonO365 fueron elaborados para hacerse pasar por marcas u organizaciones de confianza dentro de la empresa objetivo, utilizando temas familiares del entorno laboral para explotar la confianza y generar una sensación de urgencia. Los nombres de los archivos fueron diseñados para imitar las comunicaciones rutinarias, como documentos financieros o de Recursos Humanos, acuerdos de políticas, contratos y facturas. En algunos casos, los correos electrónicos fueron más allá, incorporando el nombre del destinatario en enlaces o archivos adjuntos para aumentar la credibilidad. Esta táctica de ingeniería social aumenta la probabilidad de que los usuarios hagan clic, creyendo que el mensaje es auténtico.

Correo electrónico de RaccoonO365 DocuSign que contiene un botón “Revisar documento” que dirige al usuario a la página de phishing.

Correo electrónico de RaccoonO365 Adobe Acrobat que contiene un botón “Ver ahora” que dirige al usuario a la página de phishing.

Correo electrónico de phishing de RaccoonO365 que suplanta a Maersk. El archivo PDF contiene un documento con un enlace incrustado en una imagen, que luego redirige al usuario a una página de phishing.

Campaña de RaccoonO365 basada en archivos PDF, donde el documento contiene una única imagen borrosa de un archivo.Al hacer clic en cualquier parte de la imagen, el usuario es redirigido a la página de phishing.

Campaña de RaccoonO365 con un archivo adjunto en PDF que contiene un código QR. Al escanear el código, el usuario es dirigido a la página de phishing.

2. Verificación humana y evasión de detección

Cuando el objetivo accede al enlace malicioso en el correo electrónico, PDF o código QR, se lo redirige a una página de destino protegida por un simple CAPTCHA “No soy un robot” para la verificación humana.

Página básica de CAPTCHA utilizada por el kit de phishing para bloquear herramientas de seguridad automatizadas y restringir el acceso a objetivos humanos

En esta etapa, el script de RaccoonO365 también utiliza varias técnicas para bloquear a los investigadores de seguridad y los sistemas automatizados, entre las que se incluyen:

• Detección de bots: hace múltiples verificaciones para identificar y filtrar el tráfico automatizado.

• Verificaciones de automatización: busca específicamente la presencia de herramientas como WebDriver y analiza el agente de usuario del navegador.

• Huella digital del navegador: utiliza métodos avanzados como el canvas fingerprinting para identificar y bloquear entornos de análisis.

• Antianálisis: desactiva activamente los atajos de teclado para las herramientas de desarrollador y desactiva la consola del navegador para impedir la inspección de código.

3. Página de phishing

Después de pasar el CAPTCHA y otros criterios, al usuario se le muestra la página de inicio de sesión fraudulenta de Microsoft 365. La plataforma RaccoonO365 ofrece herramientas para crear páginas de inicio de sesión persuasivas, como la que se muestra a continuación, que simulan los servicios de Microsoft 365, aumentando la probabilidad de robo de credenciales.

Página de recolección de credenciales de Microsoft 365 alojada en un dominio malicioso

Los pasos durante esta parte de la cadena de ataque incluyen lo siguiente:

• Robo de credenciales y de sesión: cuando la víctima ingresa sus credenciales, el kit actúa como un adversario en el medio, realizando el redireccionamiento mediante proxy del flujo de autenticación a los servidores de Microsoft y permitiendo que el atacante capture no solo la contraseña, sino también la cookie de sesión resultante, eludiendo efectivamente la MFA.

• Exfiltración: una vez recopilados, los datos comprometidos, que incluyen credenciales, cookies, archivos de O365 y especificaciones de la máquina, se exfiltran a través de una URL con script que los envía directamente a una dirección de correo electrónico designada. Sin embargo, sus tácticas evolucionaron en julio para incluir también la exfiltración a Telegram.

Capacidades del kit de herramientas del actor

RaccoonO365 construyó su operación sobre una infraestructura legítima para intentar evitar la detección. Aprovechando las cuentas gratuitas, implementaron estratégicamente Cloudflare Workers como una capa intermedia, protegiendo sus servidores backend de phishing de la exposición pública directa.

Dentro del código base de RaccoonO365

El código malicioso RaccoonO365 fue diseñado para realizar una variedad de funciones, entre las que se incluyen:

Antianálisis y evasión: antes de que una solicitud se enviara al servidor de phishing real, un script de Cloudflare Workers inspeccionaba la solicitud para determinar si se originaba en un investigador de seguridad, un escáner automatizado o un entorno de pruebas. Si se detectaba alguna señal de alerta, la conexión se interrumpía o el cliente recibía un mensaje de error, ocultando de manera eficaz el kit de phishing.

Sus tácticas de evasión incluían lo siguiente:

• Filtrado de agentes de usuario: bloqueo de una lista de más de 18 herramientas de análisis automatizado conocidas, rastreadores y navegadores sin interfaz gráfica (p. ej., NetcraftSurveyAgent, python-requests, Headless).

• Evasión de proveedores de seguridad: bloqueo activo de conexiones originadas en la infraestructura de al menos 17 servicios de seguridad importantes, incluidas pasarelas de correo electrónico como safelinks.protection.outlook.com y urldefense.proofpoint.com.

• Bloqueo a nivel de red: denegación de acceso a solicitudes provenientes de centros de datos conocidos, ciertos proveedores de servicios de Internet (ISP), nodos de salida de Tor y direcciones IP bogon (rangos de IP no asignados).

• Revisión de encabezados y referencias HTTP: se analizan elementos como el encabezado Origin para detectar entornos de análisis, incluyendo herramientas como SmartScreen de Microsoft.

Enrutamiento dinámico del tráfico: para las solicitudes que pasan las verificaciones de seguridad, el script malicioso del actor tenía un segundo propósito: actuar como controlador de tráfico. El script obtenía y entregaba dinámicamente el contenido de phishing adecuado desde servidores ocultos del actor (p. ej., sharedsyncdriveforwork[.]com y sponsoredmetasocialtasks[.]vip), y ofrecía la siguiente funcionalidad:

• Redireccionamiento mediante proxy inverso: el script ocultaba la dirección IP real de los servidores de phishing, haciendo que parecieran originarse en la red de Cloudflare. Para un analista de seguridad, la conexión inicial parece terminar en Cloudflare, ocultando la verdadera infraestructura del atacante.

• Lógica de rutas de activación: el actor incrustó variables únicas en el código como “rutas de activación”, permitiéndoles redirigir sin problemas el tráfico a diferentes campañas de phishing o ajustar la lógica del backend modificando una sola variable, sin necesidad de cambiar la funcionalidad principal del código.

• Gestión centralizada: esta arquitectura permitió al actor organizar operaciones de phishing a gran escala con una sobrecarga mínima. Al modificar una pequeña parte del código, podían propagar rápidamente nuevas técnicas de evasión, actualizar la lógica de enrutamiento o cambiar campañas enteras, eliminando la necesidad de volver a implementar o reconfigurar docenas de kits de phishing discretos.

Evolución y escalamiento

RaccoonO365 no solo implementó un único Worker y lo abandonó; mantuvieron, actualizaron y escalaron continuamente su implementación para apoyar las operaciones de phishing en curso:

Octubre de 2024 - Inicio de la campaña

• La actividad más temprana que se detectó fue la implementación de las campañas iniciales de phishing de JavaScript

• El objetivo principal de la operación desde el primer día fue el robo de credenciales, con un claro enfoque en las cuentas empresariales de Microsoft 365. Estos primeros kits establecieron el código base que se refinaría continuamente con el tiempo.

Diciembre de 2024 - Implementación de infraestructura

• Dos meses después de que aparecieran los primeros kits de phishing, el actor hizo una importante actualización estratégica al implementar su primer clúster de Cloudflare Worker.

• Esto marca el cambio de una configuración de phishing más simple a una arquitectura sofisticada de dos capas. El actor colocó este nuevo Worker "delante" de sus kits de phishing existentes, protegiéndolos de inmediato con una capa de enrutamiento y evasión.

Principios y mediados de 2025 - Escalamiento y perfeccionamiento

• El actor comenzó a ejecutar múltiples campañas de phishing en paralelo, dirigidas a diferentes grupos de víctimas.

• Escalaron su infraestructura al implementar un segundo y un tercer clúster de Cloudflare Worker (marzo y julio de 2025), y con cada iteración se incorporaron funciones mejoradas contra el análisis para dificultar la investigación de seguridad.

• Durante este periodo, los kits de phishing se optimizaron con características como CAPTCHA, evasión mejorada y redireccionamientos más engañosos a páginas de error legítimas de Microsoft.

Mediados de 2025 (julio-agosto) - Sofisticación máxima

• La última gran evolución fue la integración de métodos de exfiltración de datos en tiempo real, como los bots de Telegram, directamente en los scripts de phishing. Esto permitió al actor recibir instantáneamente códigos QR de MFA y credenciales robadas, marcando la capacidad máxima de la operación.

Actualización de la plataforma RaccoonO365

En respuesta a la mitigación continua de Cloudflare sobre su infraestructura, los operadores de RaccoonO365 utilizaron su canal privado de Telegram para emitir una serie de “Actualizaciones de la plataforma”, declarando un cambio estratégico para “liberarse de Cloudflare”.

Una de las actualizaciones de progreso anteriores presentó un nuevo "Mini Panel" para los suscriptores, revelando que, a pesar de su objetivo de independizarse, la nueva infraestructura de RaccoonO365 aún planeaba depender parcialmente de Cloudflare Workers.

Una actualización sobre el progreso de la migración de RaccoonO365 anuncia un nuevo "Mini Panel" para los suscriptores.

Una "Actualización de Migración" posterior del operador RaccoonO365 declaró explícitamente su "misión de liberarse de Cloudflare". La publicación detalló planes técnicos para construir un sistema "completamente independiente y a prueba de todo" en respuesta directa a las iniciativas de aplicación y disrupción de la plataforma.

Una "Actualización de Migración" de RaccoonO365 que indica su "misión de liberarse de Cloudflare".

El 5 de septiembre de 2025, tras las iniciativas de mitigación de Cloudflare, el equipo de RaccoonO365 publicó un anuncio en Telegram para replantear la situación a sus suscriptores. Presentaron la interrupción como un "renacimiento" planificado de su servicio, cerrando los antiguos "enlaces heredados" y dirigiendo a los usuarios a una nueva plataforma para mantener el acceso—un claro intento de recuperarse de las interrupciones y retener su base de clientes al reconstruir sus operaciones en una nueva infraestructura.

Los administradores de RaccoonO365 anuncian el cierre de "enlaces heredados" y requieren que los suscriptores migren a un nuevo plan.

Coordinación de nuestra interrupción de RacoonO365

Nuestra estrategia evolucionó de una postura reactiva a una interrupción preventiva y coordinada.

1. Estado inicial: el equipo de Confianza y Seguridad de Cloudflare abordó las denuncias de abuso individuales, mitigando los dominios de RaccoonO365 a medida que se identificaban. Con el tiempo, quedó claro que era necesaria una operación más amplia y coordinada para desestabilizar aún más la eficacia general del actor.

2. Colaboración: Microsoft inició la interrupción legal, incautando cientos de dominios de RaccoonO365, mientras Cloudflare tomó medidas para detener todas las operaciones de RaccoonO365 en nuestra plataforma. Junto con las fuerzas del orden de EE. UU., ayudamos a alterar la trayectoria operativa del agente de amenazas.

3. Identificación de la infraestructura: usando patrones de registro, pudimos mapear de manera integral toda la infraestructura del agente en nuestra plataforma, incluidos los dominios y las docenas de cuentas de Worker.

4. Eliminación coordinada: a principios de septiembre de 2025, Cloudflare ejecutó un "rugpull" en RaccoonO365. Junto con Microsoft, la fase inicial de la eliminación de Cloudflare comenzó el 2 de septiembre de 2025, con acciones adicionales el 3 y el 4 de septiembre de 2025. Luego prohibimos todos los dominios identificados, colocamos páginas intersticiales de “advertencia de phishing” delante de ellos, terminamos los scripts de Workers asociados y suspendimos las cuentas de usuario para evitar que se vuelvan a registrar.

Esta acción coordinada, junto con las iniciativas legales de Microsoft y las fuerzas del orden de EE. UU., tiene como objetivo desmantelar permanentemente la capacidad del grupo para operar en nuestra plataforma y más allá.

Cronología del evento

Recomendaciones

Cloudflare recomienda los siguientes pasos para mitigar las amenazas de las operaciones de PhaaS como RaccoonO365.

• Controles de seguridad del correo electrónico

  • Utiliza la protección avanzada de seguridad del correo electrónico para detener las estafas antes de que lleguen a las bandejas de entrada. Cloudflare Email Security puede detectar correos electrónicos de PhaaS en tiempo real utilizando huellas de detección de correo electrónico (EDF) y detecciones personalizadas.

  • Implementa un estricto escaneo de archivos adjuntos y URL (sandbox de contenido sospechoso antes de la entrega).

  • Habilita DMARC, SPF y DKIM con políticas de aplicación estrictas para reducir la suplantación de correo electrónico.

• Protección de identidad y acceso

  • Implementa la MFA resistente al phishing (FIDO2/WebAuthn, tarjetas inteligentes) en lugar de la MFA basada en SMS/OTP, que los kits de AiTM como RaccoonO365 pueden eludir fácilmente.

  • Utiliza políticas de acceso condicional (restricciones geográficas, cumplimiento normativo de dispositivos, reglas de viaje imposible).

  • Rota y audita las cuentas privilegiadas periódicamente.

• Información y capacitación para el usuario

  • Brinda simulaciones y capacitación constantes sobre phishing para ayudar a los empleados a reconocer tácticas comunes (documentos de RR.HH, facturas, prompts de inicio de sesión de M365).

  • Prioriza el informe sobre la culpa: facilita y simplifica la información de correos electrónicos sospechosos de parte de los usuarios.

• Protecciones web y de puntos de conexión

  • Utiliza el filtrado de DNS y las puertas de enlace web seguras para bloquear el acceso a dominios recién registrados y sospechosos.

  • Aprovecha el aislamiento del navegador para categorías de alto riesgo (p. ej., inicios de sesión en finanzas y productividad en la nube).

  • Implementa EDR/XDR para detectar actividad posterior al phishing (robo de credenciales, comportamiento inusual del navegador).

• Preparación para la respuesta ante incidentes

  • Automatiza la detección y revocación de cookies de sesión robadas y token OAuth.

  • Ten un manual de estrategias para el restablecimiento rápido de credenciales y la recuperación de cuentas.

  • Prueba los procesos de respuesta frente a campañas simuladas de AiTM y phishing.

• Seguridad de proveedores y SaaS

  • Colabora con proveedores de servicios en la nube y SaaS para permitir la supervisión constante de la actividad de los clientes.

  • Activa alertas para prevenir autorizaciones sospechosas, instalaciones de aplicaciones OAuth o accesos inusuales a la API.

  • Exige a los inquilinos y a terceros que cumplan con controles de identidad resistentes al phishing.

Además, brindamos a todas las organizaciones (sean o no clientes de Cloudflare) acceso gratuito a nuestra herramienta Retro Scan de correo electrónico, que permite usar nuestros modelos predictivos de IA para escanear los mensajes existentes en la bandeja de entrada. Retro Scan detectará y resaltará cualquier amenaza que se encuentre, lo que permitirá a las organizaciones solucionarlas directamente en sus cuentas de correo electrónico. Con esta información, las organizaciones pueden implementar controles adicionales, ya sea mediante Cloudflare Email Security o la solución que prefieran, para evitar que amenazas similares lleguen a sus bandejas de entrada en el futuro.

Indicadores de riesgo (IOC)

La lista de dominios de RaccoonO365 que se muestra en la tabla a continuación incluye algunas de las infraestructuras más recientes utilizadas por esta organización delictiva, pero solo ofrece una muestra de la extensa lista de indicadores rastreados por Cloudforce One. Para obtener más información sobre cómo acceder a la lista completa de indicadores junto con el contexto procesable adicional, consulta nuestra plataforma de eventos de amenazas, disponible para los clientes de Cloudforce One.

Dominios

Huellas de detección de correos electrónicos (EDF)