Microsoft und Cloudflare haben Anfang September 2025 die Phishing-as-a-Service-Infrastruktur RaccoonO365 demontiert. Die Microsoft Digital Crimes Unit (DCU) und Teams von Cloudflare beschlagnahmten dabei 338 Phishing-Websites und Cloudflare-Workers-Accounts, die zur Kompromittierung von Microsoft-365-Zugangsdaten genutzt wurden. Der Fall zeigt exemplarisch, wie professionell betriebene PhaaS-Angebote Angriffe industrialisieren – und wie koordinierte Takedowns Wirkung entfalten.
So operierte RaccoonO365: Baukasten für M365-Phishing mit Evasions
RaccoonO365 lieferte seinen Kunden komplette Kits für Kampagnen via E-Mail, Dateianhänge, QR-Codes und maßgeschneiderte Phishing-Seiten, die Microsoft-Logins täuschend echt imitierten. Bestandteil der Kits waren CAPTCHA-Seiten und Anti-Bot-Filter, um Security-Scanner und Sandboxes auszufiltern. Diese Mechanismen erschweren signatur- und heuristikbasierte Erkennung, da Forscher und automatisierte Crawler abgelenkt oder blockiert werden.
Cloudflare-Workers als Verschleierungsschicht
Die Täter missbrauchten Cloudflare Workers als vorgeschaltete Logik: Bevor Nutzer zum Phishing-Host umgeleitet wurden, prüften Skripte Fingerprints und Kontextsignale (z. B. Headless-Browser-Indikatoren). Bei Verdacht brach die Kette ab oder lieferte Fehlerseiten – der eigentliche Phishing-Content blieb verborgen. Durch die gemeinsame Aktion konnten diese Evasion-Strecken zurückgebaut und hunderte Ressourcen neutralisiert werden.
Schadensbilanz: weltweit tausende Konten kompromittiert
Nach Angaben von Microsoft entwendeten Akteure, die als Storm-2246 verfolgt werden, seit Juli 2024 mindestens 5000 Zugangsdaten aus 94 Ländern. Eine groß angelegte, steuerbezogene Kampagne im April 2025 traf über 2300 Organisationen in den USA; ähnliche Kits wurden gegen mehr als 20 Gesundheitseinrichtungen eingesetzt. Die Angreifer monetarisierten gestohlene Passwörter, Cookies und Daten aus OneDrive, SharePoint und Exchange-Postfächern für Finanzbetrug, Erpressung und laterale Bewegungen bis hin zu Privilege Escalation und Supply-Chain-Angriffen.
Geschäftsmodell: Abos, Krypto-Zahlungen und skalierbare Kriminalität
Die Distribution erfolgte über einen privaten Telegram-Kanal mit über 840 Mitgliedern (Stand: 25. August 2025). Preise lagen bei 355 US-Dollar/Monat oder 999 US-Dollar für drei Monate, bezahlt in USDT oder BTC. Microsoft schätzt die Erlöse der Betreiber auf mindestens 100.000 US-Dollar in Kryptowährungen. Dieses Modell senkt den Eintrittsaufwand für Täter – ein bekanntes Muster bei PhaaS, das die Angriffsfrequenz erhöht und die Professionalisierung vorantreibt.
Attribution: OPSEC-Fehler führt zu mutmaßlichem Drahtzieher
Laut DCU liegt die mutmaßliche Leitung des Projekts bei Joshua Ogundipe (Nigeria), der mit Kernteilen des Codes in Verbindung gebracht wird. Eine OPSEC-Panne – die unbeabsichtigte Offenlegung einer Krypto-Wallet – erlaubte die Korrelation technischer Artefakte und die Weitergabe relevanter Beweise an internationale Strafverfolgungsbehörden.
Empfehlungen: Belastbare Schutzmaßnahmen für Microsoft 365
Unternehmen sollten phishing-resistente MFA (z. B. FIDO2/WebAuthn) flächendeckend einführen und Legacy-Auth-Protokolle deaktivieren. Conditional Access in Kombination mit Continuous Access Evaluation reduziert das Risiko entführter Sitzungen; verdächtige Tokens und Sessions sind regelmäßig zu widerrufen. OAuth-Consents restriktiv handhaben, privilegierte Zugriffe minimieren und App-Zugriffe überwachen. Auf E-Mail-Ebene sind DMARC, DKIM, SPF, robuste URL-/Anhangsfilter und Schutz vor QR-Phishing essenziell. Ergänzend helfen Erkennungen für „Impossible Travel“, Alerts für geheime Weiterleitungsregeln sowie Änderungen an MFA-Methoden. Schulungen mit praxisnahen Phishing-Simulationen stärken die menschliche Firewall. Empfehlungen decken sich mit gängigen Leitlinien von Microsoft, der FIDO Alliance und NIST SP 800-63B für starke Authentifizierung.
Die Zerschlagung von RaccoonO365 unterstreicht, dass branchenweite Kooperation wirksam gegen PhaaS vorgehen kann. Da die ökonomischen Anreize bestehen bleiben, ist mit Nachfolgern zu rechnen. Organisationen sollten jetzt nachrüsten: phishing-resistente Faktoren einführen, Zugriffsrichtlinien durchsetzen, App-Consents kontrollieren und Telemetrie konsequent auswerten. Wer Prävention und schnelle Incident Response kombiniert, senkt die Wahrscheinlichkeit erfolgreicher Kompromittierungen und verkürzt die Verweildauer von Angreifern signifikant.
