AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**Desarticulada en Nigeria una célula de cibercriminales que explotaba Microsoft 365 mediante Raccoon0365**

admin

### 1. Introducción

Las fuerzas policiales de Nigeria han logrado una importante operación contra la ciberdelincuencia con la detención de tres sujetos responsables de ataques dirigidos a través de la plataforma Microsoft 365. Los arrestados utilizaban el servicio de phishing como servicio (PhaaS) conocido como Raccoon0365, una herramienta que ha permitido a actores maliciosos globales orquestar campañas de suplantación y robo de credenciales a gran escala. Este caso pone de manifiesto la creciente sofisticación de los servicios criminales “as-a-service” y la necesidad de reforzar las defensas en torno a plataformas SaaS críticas como Microsoft 365.

### 2. Contexto del Incidente

La investigación, liderada por la Nigeria Police Force y apoyada por agencias internacionales, se centró en una red que había logrado comprometer cientos de cuentas corporativas de Microsoft 365 en Europa y América, principalmente entre 2023 y principios de 2024. Raccoon0365, el framework utilizado, se encuentra entre los servicios de phishing más avanzados actualmente en circulación, facilitando tanto la creación de campañas masivas como la personalización de ataques dirigidos (spear phishing) a altos ejecutivos y departamentos financieros (BEC, Business Email Compromise).

El arresto, realizado en Lagos, es resultado de un seguimiento de meses a la infraestructura digital y a las transacciones financieras asociadas a los sospechosos, que operaban en la “dark economy” del cibercrimen global. La colaboración entre organismos locales y socios internacionales ha sido clave, en un contexto de aumento de la ciberdelincuencia organizada en África Occidental.

### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

Raccoon0365 es un servicio PhaaS que permite a atacantes sin grandes conocimientos técnicos lanzar campañas de phishing profesionalizadas. El servicio proporciona plantillas de suplantación de login de Microsoft 365, kits de evasión de MFA y paneles de gestión de víctimas.

**Vectores de ataque:**
– Envío de correos electrónicos fraudulentos simulando comunicaciones oficiales de Microsoft 365 (T1566.001 – Spearphishing Attachment, T1566.002 – Spearphishing Link, MITRE ATT&CK).
– Uso de enlaces a páginas de phishing alojadas en dominios comprometidos o “bulletproof hosting”.
– Recolección y exfiltración automatizada de credenciales y tokens de sesión.

**IoC identificados:**
– Dominios de phishing recientemente generados (DGA).
– Direcciones IP asociadas a servidores de comando y control en ISPs de Nigeria, Países Bajos y Rusia.
– Hashes de kits de phishing detectados en VirusTotal.

**Exploits y herramientas:**
Aunque no se han explotado vulnerabilidades específicas (CVE) en Microsoft 365, Raccoon0365 destaca por su integración con frameworks como Evilginx2 (proxy inverso para robo de tokens MFA), y su compatibilidad con herramientas de automatización tipo Cobalt Strike para movimiento lateral post-compromiso.

### 4. Impacto y Riesgos

Se estima que la operación de este grupo ha afectado a más de 500 organizaciones, con filtraciones de credenciales que han facilitado fraudes BEC por valor de al menos 1,2 millones de dólares. El acceso ilícito a cuentas Microsoft 365 permitió el robo de información confidencial, suplantación interna y la ejecución de transferencias fraudulentas.

El riesgo principal reside en el acceso persistente a cuentas privilegiadas y la capacidad de evadir mecanismos MFA, lo que permite a los atacantes mantener control sobre los entornos comprometidos y pivotar hacia otros sistemas críticos.

### 5. Medidas de Mitigación y Recomendaciones

Para reducir la superficie de ataque frente a este tipo de amenazas, se recomienda:

– Activar políticas de autenticación multifactor robustas, preferiblemente con tokens físicos (FIDO2).
– Implementar detección de anomalías en inicios de sesión (location-based, impossible travel).
– Desplegar filtros avanzados de correo y sandboxing para URLs y archivos adjuntos.
– Monitorizar logs de acceso y alertar sobre eventos sospechosos (Azure AD, Exchange Online).
– Revisar y limitar delegaciones y privilegios en cuentas de Microsoft 365.
– Formación continua de usuarios sobre reconocimiento de phishing avanzado.
– Mantener una política activa de respuesta ante incidentes y cumplimiento con la notificación a autoridades según GDPR y NIS2.

### 6. Opinión de Expertos

Especialistas en ciberinteligencia destacan que el auge de los servicios PhaaS como Raccoon0365 está democratizando el acceso al cibercrimen. “Ya no es necesario tener grandes conocimientos técnicos para lanzar campañas sofisticadas de phishing. La profesionalización de estos servicios aumenta la presión sobre los equipos de seguridad y obliga a evolucionar tanto en prevención como en respuesta”, apunta un analista SOC de una multinacional española.

Desde el sector legal, se señala la importancia del cumplimiento normativo: “Las organizaciones deben revisar su preparación ante incidentes y los procedimientos de notificación, especialmente bajo el marco GDPR y la inminente NIS2, que endurecerá las obligaciones en materia de ciberseguridad”.

### 7. Implicaciones para Empresas y Usuarios

El caso confirma que las plataformas SaaS de productividad empresarial son objetivos prioritarios. Las empresas deben asumir que el correo electrónico corporativo es el principal vector de ataque y que la seguridad de Microsoft 365 requiere un enfoque multicapa. Los usuarios, por su parte, siguen siendo el último eslabón y la formación en identificación de amenazas es más necesaria que nunca.

La cooperación internacional y la presión policial sobre actores en países emergentes es esencial, pero el modelo PhaaS garantiza que nuevos grupos ocupen rápidamente el vacío dejado por operaciones policiales exitosas.

### 8. Conclusiones

La detención de esta célula en Nigeria supone un golpe importante a la infraestructura de phishing global, pero también evidencia la resiliencia y adaptabilidad del cibercrimen organizado. La profesionalización del phishing como servicio obliga a reforzar defensas técnicas, procesos de respuesta y concienciación de usuarios. La protección de entornos Microsoft 365 debe ser una prioridad estratégica para cualquier organización que aspire a cumplir con las exigencias regulatorias y a proteger sus activos críticos frente a una amenaza en continua evolución.

(Fuente: www.bleepingcomputer.com)