Microsoft bersama Cloudflare berhasil menggagalkan operasi besar-besaran Phishing-as-a-Service (PhaaS) bernama RaccoonO365, yang digunakan penjahat siber untuk mencuri ribuan kredensial Microsoft 365.
Penggerebekan Operasi RaccoonO365
Pada awal September 2025, melalui koordinasi dengan tim Cloudforce One serta Trust and Safety milik Cloudflare, unit Digital Crimes Unit (DCU) Microsoft menyita 338 situs web dan akun Cloudflare Worker yang terkait dengan RaccoonO365.
Kelompok kriminal ini, yang juga dilacak Microsoft dengan kode Storm-2246, diketahui telah mencuri sedikitnya 5.000 kredensial Microsoft 365 dari 94 negara sejak Juli 2024. Mereka memanfaatkan phishing kit lengkap dengan halaman CAPTCHA dan teknik anti-bot untuk membuat serangan tampak sah dan sulit dianalisis.
Target dan Dampak Serangan
- Pada April 2025, kampanye phishing bertema pajak menargetkan lebih dari 2.300 organisasi di AS.
- Serangan juga diarahkan ke lebih dari 20 institusi kesehatan AS, berpotensi mengakibatkan gangguan layanan pasien, keterlambatan perawatan, hasil lab yang terganggu, hingga kebocoran data sensitif.
- Data yang dicuri, termasuk kredensial, cookie, serta file dari OneDrive, SharePoint, dan email, dimanfaatkan untuk penipuan finansial, pemerasan, maupun akses awal ke sistem korban lain.
Steven Masada, Assistant General Counsel Microsoft DCU, menegaskan bahwa ancaman ini menempatkan keselamatan publik dalam risiko serius, terutama karena serangan phishing sering kali menjadi pintu masuk malware dan ransomware.
Model Bisnis RaccoonO365
RaccoonO365 beroperasi melalui saluran Telegram privat dengan lebih dari 840 anggota per Agustus 2025.
- Biaya berlangganan: mulai dari $355 untuk 30 hari hingga $999 untuk 90 hari.
- Pembayaran dilakukan menggunakan USDT (TRC20, BEP20, Polygon) atau Bitcoin (BTC).
- Microsoft memperkirakan pendapatan kelompok ini sudah mencapai $100.000 dalam bentuk kripto, dengan estimasi 100–200 pelanggan aktif, meski jumlah sebenarnya bisa lebih besar.
Identitas Pelaku
Hasil investigasi Microsoft mengungkap bahwa pemimpin RaccoonO365 adalah Joshua Ogundipe, warga Nigeria dengan latar belakang pemrograman komputer. Ia diyakini menulis sebagian besar kode untuk phishing kit tersebut.
Menariknya, kelalaian operasional yang mengungkap dompet kripto rahasia menjadi kunci dalam mengaitkan identitas Ogundipe dengan operasi ini. Microsoft telah mengajukan laporan kriminal kepada aparat penegak hukum internasional.
Cloudflare juga menilai ada indikasi kolaborasi dengan penjahat siber berbahasa Rusia, terlihat dari penggunaan bahasa Rusia pada bot Telegram RaccoonO365.
Upaya Penindakan Lanjutan
Aksi ini mengikuti langkah Microsoft sebelumnya pada Mei 2025, ketika perusahaan juga menyita 2.300 domain terkait operasi malware-as-a-service Lumma Stealer.
Sumber: Microsoft, Cloudflare