أعلنت شركتا Cloudflare ومايكروسوفت عن نجاحهما في إحباط هجمات تصيد إلكتروني نفذتها مجموعة تُعرف باسم RaccoonO365، التي تعمل بنظام التصيد كخدمة (Phishing-as-a-Service – PhaaS).

وأوضحت التقارير أن المجموعة استغلت خدمات Cloudflare وبنى تحتية أخرى لإخفاء أدوات التصيد الخاصة بها، مستهدفةً مستخدمي مايكروسوفت 365 من خلال صفحات مزيفة مصممة لسرقة بيانات تسجيل الدخول. واعتمدت الأدوات على صفحات CAPTCHA بسيطة وتقنيات مضادة للروبوتات لتجنب الكشف وإيهام الضحايا بأنها شرعية.

وشملت البيانات المسروقة معلومات تسجيل الدخول، وملفات تعريف الارتباط (Cookies)، وملفات من OneDrive وSharePoint والبريد الإلكتروني، والتي استخدمت لاحقًا في عمليات احتيال مالي، أو ابتزاز، أو كنقاط دخول لهجمات إلكترونية أكبر.

وكشفت Cloudflare أنه في أوائل سبتمبر 2025، نفذت حملة منسقة لتعطيل مئات النطاقات وحسابات Worker المرتبطة بالمجموعة، ما أدى إلى تفكيك بنيتها التحتية ورفع تكاليف عملياتها بشكل كبير.

وجاءت هذه الخطوة ضمن حملة أوسع بالتعاون مع مايكروسوفت، التي قدمت دعوى مدنية ضد المجموعة في أغسطس 2025. وأظهرت طريقة Cloudflare تحولًا من الإجراءات التفاعلية المحدودة إلى تعطيل استباقي واسع النطاق للبنية التحتية للمجموعة.

وكانت RaccoonO365 تعمل بنظام اشتراك يسمح للمجرمين الإلكترونيين بإدارة حملات التصيد، حيث أفادت مايكروسوفت أن أدوات المجموعة سرقت منذ يوليو 2024 ما لا يقل عن 5,000 بيانات تسجيل دخول لـMicrosoft 365 في 94 دولة.

وكانت المجموعة تبيع الوصول إلى حزمة أدواتها “RaccoonO365 Suite” عبر قناة خاصة على تطبيق Telegram تضم 845 عضوًا، بأسعار:

• اشتراك 30 يومًا مقابل 355 دولارًا
• اشتراك 90 يومًا مقابل 999 دولارًا

وتُقبل المدفوعات بالعملات الرقمية مثل USDT وBitcoin.

كما قامت فرق الثقة والسلامة في Cloudflare برصد كامل بنية المجموعة قبل عملية التعطيل، وحظرت جميع النطاقات، وأطلقت صفحات تحذير من التصيد، وأوقفت برامج Worker، وعلّقت الحسابات المرتبطة.

وأكدت Cloudflare أن هذا الإجراء المنسق، بدعم من مايكروسوفت والسلطات الأمريكية، يهدف إلى تعطيل هجمات التصيد للمجموعة بشكل دائم ومنع إعادة تسجيلها.

مقالات ذات صلة

عرض الكل