No início de setembro de 2025, a Unidade de Crimes Digitais (DCU) da Microsoft, em colaboração com as equipas Cloudforce One e Trust and Safety da Cloudflare, conseguiu neutralizar a operação ao arrestar 338 websites e contas associadas à rede RaccoonO365.
Um esquema sofisticado de Phishing-as-a-Service
O grupo por detrás do serviço, também monitorizado pela Microsoft como Storm-2246, estava ativo pelo menos desde julho de 2024. A sua especialidade era a criação e aluguer de kits de phishing que incluíam páginas de CAPTCHA e técnicas anti-bot. Estas ferramentas avançadas faziam com que as páginas fraudulentas parecessem legítimas, dificultando a sua deteção e análise por sistemas de segurança.
Os criminosos que subscreviam o serviço utilizavam estes kits para enganar as vítimas e roubar as suas credenciais, cookies e outros dados de contas OneDrive, SharePoint e de email, que eram depois usados em tentativas de fraude financeira, ataques de extorsão ou como ponto de partida para comprometer outros sistemas.
Milhares de vítimas e um alvo perigoso: o setor da saúde
Desde o seu início, a RaccoonO365 foi responsável pelo roubo de, pelo menos, 5.000 credenciais de utilizadores em 94 países. Uma das suas campanhas mais notórias ocorreu em abril de 2025, visando mais de 2.300 organizações nos Estados Unidos com um tema de impostos.
De forma particularmente alarmante, os kits de phishing também foram utilizados em ataques contra mais de 20 organizações do setor da saúde nos EUA.
“Isto coloca a segurança pública em risco, pois os emails de phishing da RaccoonO365 são frequentemente um precursor de malware e ransomware, que têm consequências graves para os hospitais”, afirmou Steven Masada, Conselheiro Geral Adjunto da DCU da Microsoft. “Nestes ataques, os serviços aos pacientes são adiados, cuidados críticos são adiados ou cancelados, resultados laboratoriais são comprometidos e dados sensíveis são violados, causando grandes perdas financeiras e impactando diretamente os pacientes”.
Um negócio lucrativo via Telegram e criptomoedas
A RaccoonO365 operava o seu negócio através de um canal privado no Telegram que, em agosto de 2025, contava com mais de 840 membros. Os preços dos kits de phishing variavam entre os 355 dólares (cerca de 330 euros) por um plano de 30 dias e os 999 dólares (cerca de 930 euros) por uma subscrição de 90 dias. Os pagamentos eram realizados em criptomoedas como USDT ou Bitcoin.
A Microsoft estima que o grupo tenha recebido pelo menos 100.000 dólares (aproximadamente 93.000 euros) em pagamentos, o que sugere entre 100 a 200 subscrições ativas, embora o número real seja provavelmente muito superior.
A investigação que levou a um programador na Nigéria
Durante a investigação, a DCU da Microsoft identificou Joshua Ogundipe, residente na Nigéria, como o líder da operação RaccoonO365. Acredita-se que Ogundipe, com formação em programação, tenha sido o autor da maior parte do código. Uma falha de segurança operacional, na qual os criminosos revelaram inadvertidamente uma carteira de criptomoedas secreta, foi crucial para a sua identificação.
A Cloudflare também aponta para uma possível colaboração com cibercriminosos de língua russa, dado o uso do idioma no nome do bot do Telegram da rede. Foi enviada uma denúncia criminal contra Ogundipe às autoridades internacionais.