Cloudflare participe à une opération mondiale visant à perturber RaccoonO365.

Sommaire

Vue d'ensemble

Synthèse

Profil de l’acteur malveillant : RaccoonO365

Analyse de campagne et répartition des menaces

Vecteur d'attaque

Infrastructure et outils des acteurs malveillants

Efforts d’interruption

Recommandations

Indicateurs de compromission

Vue d'ensemble

En partenariat avec Microsoft, les équipes Cloudforce One et Confiance et sécurité de Cloudflare ont réussi à perturber l'entreprise criminelle de Phishing-as-a-Service (PhaaS) connue sous le nom de RaccoonO365. Ce rapport détaille les actions techniques et juridiques coordonnées qui ont été menées contre une opération de phishing sophistiquée visant les identifiants Microsoft 365. Le groupe RaccoonO365 a abusé des services Cloudflare et d'autres fournisseurs d'infrastructure pour tenter d'empêcher la détection de leurs kits de phishing.

La réponse de Cloudflare illustre une évolution stratégique des mises hors service qui ont lieu en réaction et se limitent à un seul domaine, vers une perturbation proactive et à grande échelle visant à démanteler l'infrastructure opérationnelle de l'acteur sur notre plateforme. En prenant des mesures coordonnées au début de septembre 2025, nous cherchons à augmenter considérablement les coûts opérationnels de RaccoonO365 et à envoyer un message clair aux autres acteurs malveillants : l'offre gratuite est trop coûteuse pour les entreprises criminelles.

Synthèse

• Cloudflare, en partenariat avec Microsoft, a pris des mesures contre RaccoonO365, une entreprise criminelle qui propose un service sophistiqué de Phishing-as-a-Service (PhaaS).

• Le principal vecteur d'attaque de la campagne était les kits de phishing conçus pour voler des identifiants Microsoft 365. Les kits utilisaient une simple page CAPTCHA et des techniques de protection contre les bots pour échapper à l'analyse et apparaître comme légitimes aux victimes.

• L'objectif ultime de l'acteur était de fournir aux abonnés des identifiants volés, des cookies et des données provenant de comptes de victimes (y compris OneDrive, SharePoint et les e-mails), afin d'être en mesure ensuite de se livrer à de la fraude financière ou de l'extorsion ou encore de se servir de cet accès initial pour des attaques de plus grande envergure.

• Début septembre 2025, dans le cadre d'une initiative stratégique visant à empêcher cet abus de phishing sur nos services, Cloudflare a mené une opération coordonnée de démantèlement de centaines de domaines et de comptes Worker associés à l'acteur malveillant, ce qui a permis de démanteler son infrastructure sur notre réseau. Cette action a été entreprise en coordination avec des efforts plus larges de Microsoft dans le cadre d'une action en justice civile déposée fin août.

• Ce rapport fournit des détails techniques sur les TTP de l'acteur malveillant, sur notre stratégie d'atténuation et sur les indicateurs de compromission (IoC) pour aider les autres à se défendre contre cette menace et d'autres menaces similaires.

Qu'est-ce que RaccoonO365 ?

RaccoonO365 est une entreprise criminelle motivée par des gains financiers, exploitant un modèle PhaaS conçu pour cibler largement les utilisateurs de Microsoft 365, ce qui permet aux abonnés de lancer leurs propres campagnes de collecte d'identifiants. Selon Microsoft, depuis juillet 2024, les kits de RaccoonO365 ont été utilisés pour voler au moins 5 000 identifiants Microsoft dans 94 pays. Les e-mails envoyés aux victimes comportent généralement une pièce jointe avec un lien ou un code QR. Le lien malveillant mène à une page comportant un simple CAPTCHA. Une fois le CAPTCHA résolu, l’utilisateur est redirigé vers une fausse page de connexion Microsoft O365 conçue pour dérober des identifiants. Si elle réussit, cette activité est souvent un précurseur d'une infection par un logiciel malveillant ou un rançongiciel.

Le groupe vend des abonnements à sa « RaccoonO365 Suite » via un canal Telegram privé, qui comptait 845 membres au 25 août 2025. La plateforme fonctionne sur un modèle de tarification échelonnée, avec des offres structurées pour séduire une gamme de criminels, allant des testeurs à court terme à ceux menant des campagnes continues. Les offres sont vendues pour différentes durées, par exemple une offre de 30 jours à 355 USD et une offre de 90 jours à 999 USD. Le service accepte exclusivement les cryptomonnaies, y compris l'USDT (TRC20, BEP20, Polygon) et le Bitcoin (BTC).

RaccoonO365 commercialise des services criminels avec une liste de prix d'aspect professionnel et accepte les paiements en cryptomonnaie

RaccoonO365 commercialise son service en affirmant que l'opération est entièrement gérée, hébergée sur un « VPS à l'épreuve des balles » avec « zéro porte dérobée » et « zéro suivi » pour garantir à sa clientèle criminelle la sécurité et l'anonymat du service. Ils sont un parfait exemple du modèle PhaaS qui offre une suite complète d'outils et de services qui abaissent la barrière à l'entrée pour les cybercriminels cherchant à exécuter des campagnes de phishing sophistiquées, y compris la capacité de contourner l'authentification multifacteur (MFA).

Portail public de l'entreprise criminelle RaccoonO365, annonçant le « service de lien d'authentification à deux facteurs » pour contourner les mesures de sécurité de Microsoft

Microsoft a identifié le leader du groupe en la personne de Joshua Ogundipe, basé au Nigeria, tandis que des preuves telles que l'utilisation du russe dans le nom d'un bot Telegram suggèrent que le groupe a également collaboré avec des cybercriminels russophones.

Analyse de campagne et répartition des menaces

Chaîne d'attaque

La chaîne d'attaque de RaccoonO365 est conçue pour la furtivité, en contournant les mesures de sécurité et en évitant la suspicion des utilisateurs.

1. Appât initial

RaccoonO365 a employé plusieurs techniques de phishing distinctes. Nous avons observé plusieurs campagnes de phishing d'identifiants usurpant l'identité de marques de confiance telles que DocuSign, SharePoint, Adobe et Maersk. Séparément, nous avons identifié plusieurs campagnes basées sur des PDF qui utilisaient des pièces jointes et des liens basés sur des images comme vecteur de diffusion. Ces pièces jointes contenaient soit un code QR malveillant, soit une image cliquable avec un lien intégré pour rediriger les victimes vers les pages de phishing.

Les e-mails de phishing de RaccoonO365 ont été conçus pour usurper l'identité de marques ou d'organisations de confiance au sein de l'entreprise ciblée, en utilisant des thèmes de travail familiers pour exploiter la confiance et créer un sentiment d'urgence. Les noms de fichiers ont été conçus pour imiter les communications routinières, telles que les documents financiers ou liés aux ressources humaines, les accords stratégiques, les contrats et les factures. Dans certains cas, les e-mails allaient plus loin en intégrant le nom du destinataire dans des liens ou des pièces jointes pour renforcer leur crédibilité. Cette tactique d'ingénierie sociale augmente la probabilité que les utilisateurs cliquent sur le message en le croyant légitime.

E-mail RaccoonO365 DocuSign contenant un bouton « Review Document » qui redirige l'utilisateur vers la page de phishing.

E-mail Adobe Acrobat de RaccoonO365 contenant un bouton « Viex Now (Voir maintenant) » qui dirige l'utilisateur vers la page de phishing.

RaccoonO365 : e-mail de phishing usurpant l'identité de Maersk. Le PDF contient un document avec un lien reposant sur une image, qui dirige ensuite l'utilisateur vers la page de phishing.

Campagne RaccoonO365 basée sur un PDF, dans laquelle le PDF contient une seule image floue d'un document. Le fait de cliquer n'importe où sur l'image redirige l'utilisateur vers la page de phishing.

Campagne RaccoonO365 avec une pièce jointe PDF contenant un code QR. Le scan du code redirige l'utilisateur vers la page de phishing.

2. Vérification humaine et contournement de la détection

Lorsque la cible accède au lien malveillant dans l'e-mail, le PDF ou le code QR, elle est redirigée vers une page d'accueil protégée par un simple CAPTCHA « Je ne suis pas un robot » pour la vérification humaine.

Une page CAPTCHA basique utilisée par un kit de phishing pour bloquer les outils de sécurité automatisés et restreindre l'accès aux cibles humaines.

À ce stade, le script de RaccoonO365 utilise également plusieurs techniques pour bloquer les chercheurs en sécurité et les systèmes automatisés, notamment les suivantes :

• Détection des bots : elle effectue plusieurs vérifications pour identifier et filtrer le trafic automatisé.

• Vérifications de l'automatisation : elles recherchent spécifiquement la présence d'outils tels que WebDriver et analysent l'agent utilisateur du navigateur.

• Empreintes numériques des navigateurs : elles utilisent des méthodes avancées, comme l'empreinte de canvas pour identifier et bloquer les environnements d'analyse.

• Anti-analyse : elle désactive activement les raccourcis clavier pour les outils de développement et désactive la console du navigateur pour empêcher l'inspection du code.

3. Page de phishing

Après avoir passé le CAPTCHA et d'autres critères, l'utilisateur est dirigé vers la page de connexion frauduleuse de Microsoft 365. La plateforme RaccoonO365 fournit des outils pour créer des pages de connexion convaincantes, comme celle ci-dessous, qui imitent les services de Microsoft 365, ce qui augmente la probabilité de vol d'identifiants.

Page de collecte d'identifiants Microsoft 365 hébergée sur un domaine malveillant

Les étapes de cette partie de la chaîne d'attaque comprennent :

• Vol d'identifiants et de sessions : lorsque la victime saisit ses identifiants, le kit agit comme un « adversaire intermédiaire », en mettant en proxy le flux d'authentification vers les serveurs de Microsoft et en permettant à l'attaquant de capturer non seulement le mot de passe mais aussi le cookie de session qui en résulte, contournant ainsi efficacement l'authentification multifacteur.

• Exfiltration : une fois collectées, les données compromises (qui comprennent les informations d'identification, les cookies, les fichiers O365 et les spécifications de machine) sont exfiltrées via une URL scriptée qui les envoie directement vers une adresse e-mail désignée. Cependant, leurs tactiques ont évolué en juillet pour inclure également l'exfiltration vers Telegram.

Fonctionnalités des outils de l'acteur malveillant

RaccoonO365 a construit son opération sur une infrastructure légitime pour éviter les Détections. En utilisant des comptes gratuits, ils ont déployé de manière stratégique Cloudflare Workers pour servir de couche intermédiaire, protégeant ainsi leurs serveurs de phishing back-end de l'exposition directe au public.

Dans la base de code de RaccoonO365

Le code malveillant RaccoonO365 a été conçu pour exécuter diverses fonctions, notamment :

Anti-analyse et évasion : avant qu'une requête ne soit transmise au serveur de phishing proprement dit, un script Cloudflare Workers inspectait la requête pour déterminer si elle provenait d'un chercheur en sécurité, d'un analyseur automatisé ou d'un bac à sable. Si des signaux d'alerte étaient détectés, la connexion serait interrompue ou le client recevrait un message d'erreur, dissimulant ainsi le kit de phishing.

Leurs tactiques d’évasion comprenaient :

• Filtrage des agents utilisateurs : blocage d'une liste de plus de 18 outils d'analyse automatisés, robots d'indexation et navigateurs sans interface graphique connus (par exemple, NetcraftSurveyAgent, python-requests, Headless).

• Évasion des fournisseurs de sécurité : blocage actif des connexions provenant de l'infrastructure d'au moins 17 services de sécurité majeurs, y compris des passerelles de messagerie telles que safelinks.protection.outlook.com et urldefense.proofpoint.com.

• Blocage au niveau du réseau : refus d'accès aux requêtes provenant de datacenters connus, de certains FAI, de nœuds de sortie Tor et d'adresses IP bogon (plages d'adresses IP non allouées).

• Vérification des en-têtes et du référent : inspection des en-têtes HTTP pour détecter des signes d'analyse, comme l'en-tête Origin utilisé par SmartScreen de Microsoft.

Routage dynamique du trafic : pour les requêtes qui passent les contrôles de sécurité, le script malveillant de l’acteur a servi un deuxième objectif, celui d'agir comme un contrôleur de trafic. Le script récupérait et servait dynamiquement le contenu de phishing approprié à partir des serveurs back-end cachés de l'acteur (par exemple, sharedsyncdriveforwork[.]com et sponsoredmetasocialtasks[.]vip), et offrait la fonctionnalité suivante :

• Mise en proxy inverse : le script dissimulait l'adresse IP réelle des serveurs de phishing, les faisant apparaître comme provenant du réseau de Cloudflare. Pour un analyste de sécurité, la connexion initiale semble se terminer chez Cloudflare, masquant ainsi la véritable infrastructure de l'attaquant.

• Logique de chemin déclencheur : l'acteur a intégré des variables uniques dans le code sous forme de « chemins déclencheurs », ce qui lui permet de rediriger le trafic de manière fluide vers différentes campagnes de phishing ou d'ajuster la logique back-end en modifiant une seule variable, sans avoir besoin de changer la fonctionnalité principale du code.

• Gestion centralisée : cette architecture a permis à l'acteur d'orchestrer des opérations de phishing à grande échelle avec des frais généraux minimaux. En modifiant une petite partie du code, il pouvait rapidement propager de nouvelles techniques d'évasion, mettre à jour la logique de routage ou déplacer des campagnes entières, éliminant ainsi la nécessité de redéployer ou de reconfigurer des dizaines de kits de phishing distincts.

Évolution et mise à l'échelle

RaccoonO365 ne s'est pas contenté de mettre en place un seul Worker et de l'abandonner ; ils ont continuellement entretenu, mis à jour et fait évoluer leur déploiement pour soutenir les opérations de phishing en cours :

Octobre 2024 : lancement de la campagne

• La première activité détectée est le déploiement des campagnes de phishing JavaScript initiales

• Dès le premier jour, l'objectif principal de l'opération était le vol d'identifiants, en ciblant clairement les comptes professionnels de Microsoft 365. Ces premiers kits ont constitué le code fondamental qui devait continuellement être affiné au fil du temps.

Décembre 2024 : déploiement de l'infrastructure

• Deux mois après l'apparition des premiers kits de phishing, l'acteur a effectué une mise à niveau stratégique importante en déployant son premier cluster Cloudflare Worker.

• Cela marque le passage d'une configuration de phishing plus simple à une architecture sophistiquée à deux niveaux. L'acteur malveillant a placé ce nouveau Worker « devant » ses kits de phishing existants, ce qui les protégeait immédiatement grâce à une couche de routage et d'évasion.

Début à mi-2025 : évolutivité et affinage

• L'acteur a commencé à mener plusieurs campagnes de phishing en parallèle, ciblant différents groupes de victimes.

• Il a fait évoluer leur infrastructure en déployant un deuxième et un troisième cluster de Cloudflare Worker (mars et juillet 2025), chaque itération intégrant des fonctionnalités améliorées d'anti-analyse pour compliquer les enquêtes de sécurité.

• Pendant cette période, les kits de phishing ont été améliorés avec des fonctionnalités telles que les CAPTCHA, une meilleure évasion et des redirections plus trompeuses vers les pages d'erreur légitimes de Microsoft.

Mi-2025 (juillet - août) : pic de sophistication

• La dernière évolution majeure a été l'intégration de méthodes d'exfiltration de données en temps réel, telles que les bots Telegram, directement dans les scripts de phishing. Cela a permis à l'acteur de recevoir instantanément des codes QR de MFA et des identifiants volés, marquant ainsi le pic de capacité de l'opération.

Mise à jour de la plateforme RaccoonO365

En réponse à l'atténuation continue de leur infrastructure par Cloudflare, les opérateurs de RaccoonO365 ont utilisé leur canal Telegram privé pour publier une série de « mises à jour de plateforme », ce qui était le signe d'un changement stratégique visant à « s'affranchir de Cloudflare ».

L'une des mises à jour précédentes a introduit un nouveau « Mini Panel » pour les abonnés, révélant que malgré leur objectif de devenir indépendants, la nouvelle infrastructure de RaccoonO365 prévoyait toujours de s'appuyer partiellement sur les Cloudflare Workers.

Une mise à jour sur l'avancement de la migration de RaccoonO365 annonce un nouveau « Mini Panel » pour les abonnés.

Une « Migration Update » ultérieure de l'opérateur RaccoonO365 a explicitement déclaré sa « mission de s'affranchir de Cloudflare ». L'article détaillait les plans techniques pour construire un système « totalement indépendant et à toute épreuve » en réponse directe aux efforts d'application et de perturbation des plateformes.

Une « Migration Update » de RaccoonO365 déclarant leur « mission de s'affranchir de Cloudflare ».

Le 5 septembre 2025, suite aux efforts d'atténuation déployés par Cloudflare, l'équipe de RaccoonO365 a publié une annonce sur Telegram pour recadrer la situation auprès de ses abonnés. Ils ont présenté la perturbation comme une « renaissance » planifiée de leur service, en fermant les anciens « liens hérités » et en dirigeant les utilisateurs vers une nouvelle plateforme pour conserver l'accès. Il s'agissait d'une tentative claire de se rétablir après les perturbations et de conserver leur clientèle en reconstruisant leurs opérations sur une nouvelle infrastructure.

Les administrateurs de RaccoonO365 annoncent la fermeture des « anciens liens » et demandent aux abonnés de migrer vers une nouvelle offre.

Coordination de notre interruption RacoonO365

Notre stratégie a évolué d'une posture de réaction à une stratégie qui anticipe et coordonne.

1. Situation initiale : l'équipe Confiance et sécurité de Cloudflare s'est chargée de traiter les plaintes individuelles liées aux utilisations abusives, en atténuant les domaines RaconO365 dès leur identification. Au fil du temps, la nécessité d'une opération plus large et coordonnée pour perturber davantage l'efficacité globale de l'acteur malveillant est apparue évidente.

2. Collaboration : Microsoft a lancé une action juridique de perturbation, s'emparant de centaines de domaines RaccoonO365, tandis que Cloudflare a pris des mesures pour arrêter toutes les opérations RaccoonO365 sur notre plateforme. En collaboration avec les autorités des États-Unis, nous avons contribué à modifier la trajectoire opérationnelle de l'acteur malveillant.

3. Identification de l'infrastructure : grâce aux logiques d'inscription, nous avons pu dresser une carte exhaustive de l'ensemble de l'infrastructure de l'acteur sur notre plateforme, ce qui comprenait les domaines et des dizaines de comptes Worker.

4. Opération coordonnée : Au début de septembre 2025, Cloudflare a exécuté un « rugpull » sur RaccoonO365. En collaboration avec Microsoft, la phase initiale du démantèlement de Cloudflare a débuté le 2 septembre 2025, avec des actions supplémentaires les 3 et 4 septembre 2025. Nous avons ensuite banni tous les domaines identifiés, placé des pages interstitielles « d'avertissement de phishing » devant eux, mis fin aux scripts Workers associés et suspendu les comptes utilisateurs pour empêcher leur réenregistrement.

Cette action coordonnée, en parallèle des efforts juridiques de Microsoft et des autorités des États-Unis, vise à démanteler définitivement la capacité du groupe à opérer sur notre plateforme et au-delà.

Chronologie de l'événement

Recommandations

Cloudflare recommande les étapes suivantes pour atténuer les menaces liées aux opérations PhaaS telles que RaccoonO365.

• Contrôles de sécurité des e-mails

  • Utilisez une protection avancée de sécurité des e-mails pour arrêter les escroqueries avant qu'elles n'atteignent les boîtes de réception. Cloudflare Email Security peut détecter les e-mails PhaaS en temps réel à l'aide des empreintes de détection des e-mails (EDF) et de détections personnalisées.

  • Appliquez un contrôle strict des pièces jointes et des URL (mettez en quarantaine les contenus suspects avant la diffusion).

  • Activez DMARC, SPF et DKIM avec application pour réduire l'usurpation d'adresse e-mail.

• Renforcement des contrôles d'identité et d’accès

  • Appliquez une MFA résistant au phishing (FIDO2/WebAuthn, cartes à puce) au lieu de la MFA basée sur SMS/OTP, qui est facilement contournée par des kits AiTM comme RaccoonO365.

  • Utilisez des politiques d'accès conditionnel (restrictions géographiques, conformité des appareils, règles de déplacement impossible).

  • Assurez le renouvellement et l'audit des comptes privilégiés de manière régulière.

• Sensibilisation et formation des utilisateurs

  • Fournissez des simulations de phishing et une formation continue pour aider les employés à reconnaître les pièges courants (documents RH, factures, invites de connexion à M365).

  • Privilégiez le signalement plutôt que le blâme : facilitez et récompensez le signalement des e-mails suspects par les utilisateurs.

• Protections web et des points de terminaison

  • Utilisez le filtrage DNS et les passerelles web sécurisées pour bloquer l'accès aux domaines nouvellement enregistrés et suspects.

  • « Exploitez l'isolement de navigateur pour les catégories à haut risque (p. ex., les connexions financières, les connexions à la productivité cloud). »

  • Déployez EDR/XDR pour détecter les activités post-phishing (vol d'identifiants, comportement inhabituel du navigateur).

• Préparation à la réponse aux incidents

  • Automatisez la détection et la révocation des cookies de session volés et des jetons OAuth.

  • Prévoyez un manuel pour la réinitialisation rapide des identifiants et la récupération des comptes.

  • Testez les processus de réponse contre les campagnes simulées d'attaque de l'homme au milieu (AiTM) et de phishing.

• Sécurité des fournisseurs et du SaaS

  • Travaillez avec les fournisseurs de cloud et de SaaS pour permettre une surveillance continue de l'activité des locataires.

  • Activez les alertes pour les autorisations de consentement suspectes, les installations d'applications OAuth ou les accès API inhabituels.

  • Exigez que les locataires et les tiers se conforment à des contrôles d'identité résistants au phishing.

En outre, nous offrons à toutes les organisations, qu'elles soient clientes de Cloudflare ou non, un accès gratuit à notre outil Retro Scan pour les e-mails, afin de leur permettre d'utiliser nos modèles d'IA prédictive pour analyser les messages existants dans leurs boîtes de réception. Retro Scan détectera et mettra en évidence toutes les menaces détectées, ce qui permettra aux organisations d’y remédier directement dans leurs comptes de messagerie. Grâce à ces informations, les entreprises peuvent mettre en œuvre des contrôles supplémentaires, soit en utilisant Cloudflare Email Security, soit leur solution préférée, afin d'empêcher que des menaces similaires n'atteignent leurs boîtes de réception à l'avenir.

Indicateurs de compromission (IOC)

La liste des domaines RaccoonO365 figurant dans le tableau ci-dessous inclut une partie de l'infrastructure la plus récente utilisée par cette entreprise criminelle, mais elle ne propose qu'un échantillon de la très longue liste d'indicateurs suivis par Cloudforce One. Pour plus d'informations sur la marche à suivre pour accéder à la liste complète de ces indicateurs, en plus d'un contexte exploitable supplémentaire, rendez-vous sur notre plateforme d'événements de menaces, accessible à tous les clients de Cloudforce One.

Domaines

Détection par empreintes numériques au sein des e-mails (EDF)