Microsoft & Cloudflare Bongkar Jaringan Phishing RaccoonO365: Ketika Penjahat Siber Menjual “Phishing-as-a-Service”
Awal Terungkapnya RaccoonO365
Dalam operasi gabungan yang diumumkan pertengahan September 2025, Microsoft Digital Crimes Unit (DCU) bersama Cloudflare berhasil menumbangkan salah satu jaringan phishing terbesar di dunia: RaccoonO365.
Jaringan ini tidak seperti sindikat phishing tradisional. Ia beroperasi sebagai Phishing-as-a-Service (PhaaS) — model bisnis kejahatan siber di mana siapa pun bisa “menyewa” layanan phishing lengkap untuk menyerang korban, tanpa perlu kemampuan teknis tinggi.
Dalam aksi penegakan hukum ini, sebanyak 338 domain disita oleh Microsoft berdasarkan perintah pengadilan dari Southern District of New York, dengan bantuan Cloudflare untuk menonaktifkan layanan proxy dan skrip yang menyembunyikan aktivitas berbahaya di balik infrastruktur sah.
“RaccoonO365 tumbuh pesat karena menawarkan kemudahan dan skala. Kami mengambil tindakan hukum dan teknis untuk menghentikan penyebarannya,”
— Amy Hogan-Burney, General Manager Microsoft DCU
(Sumber: blogs.microsoft.com)
Phishing-as-a-Service: Kejahatan Siber yang “Dijual Bebas”
Berbeda dengan phishing manual yang biasanya dilakukan oleh peretas tunggal, RaccoonO365 menawarkan “paket phishing siap pakai” kepada siapa pun yang ingin mencuri data login Microsoft 365.
Layanannya bahkan dikemas seperti SaaS (Software-as-a-Service) — lengkap dengan dashboard, pembaruan rutin, dokumentasi, dan sistem berlangganan.
Menurut laporan Security Affairs, harga langganan RaccoonO365 berkisar US$ 355 untuk 30 hari, atau US$ 999 untuk 90 hari, dan dibayar menggunakan mata uang kripto seperti USDT.
Sejak Juli 2024, toolkit ini telah digunakan untuk mencuri lebih dari 5.000 kredensial Microsoft 365 dari korban di 94 negara, berdasarkan temuan Malwarebytes.
Si “Rubah Siber” dari Nigeria
Microsoft mengidentifikasi sosok di balik jaringan ini: Joshua Ogundipe, warga negara Nigeria.
Ia disebut sebagai “otak” RaccoonO365, terungkap akibat kesalahan operasional yang mengekspos dompet kripto pribadi miliknya, menghubungkan berbagai transaksi dan domain palsu ke identitas aslinya.
Investigasi juga menemukan jejak pembayaran, pendaftaran domain, dan komunikasi dengan pelanggan yang menyewa layanan phishing tersebut. Microsoft telah menyerahkan informasi ini ke lembaga penegak hukum internasional untuk penyelidikan lebih lanjut.
(Sumber: The Record)
Teknik Canggih: Menggunakan Alat Sah untuk Menipu
Yang membuat RaccoonO365 begitu sulit dideteksi adalah cara mereka menyalahgunakan alat sah seperti:
- Cloudflare Workers dan reverse proxy untuk menyamarkan lokasi server phishing.
- CAPTCHA Turnstile agar situs palsu tampak legal dan “berlaku normal”.
- Session hijacking untuk mencuri session cookies dan melewati autentikasi MFA.
Dengan pendekatan ini, banyak sistem deteksi phishing tradisional gagal mengenali situs mereka, karena tampak seperti domain yang dilindungi Cloudflare.
“Operator ini bukan hanya mencuri kata sandi, tapi juga mencuri sesi aktif dan menyamar sebagai pengguna sah,”
— The Hacker News, 17 September 2025
(Sumber)
Skala Operasi dan Dampak Global
Microsoft memperkirakan RaccoonO365 telah memiliki 100–200 pelanggan aktif, dengan pendapatan minimal US$ 100.000 dari langganan kripto.
Meski angka ini terkesan kecil, dampaknya besar — karena setiap pelanggan bisa meluncurkan ratusan situs phishing dan menargetkan ribuan akun korporat.
Kredensial yang dicuri sering digunakan untuk:
- Mengakses data bisnis dan email internal,
- Menyebar phishing lanjutan (chain attacks),
- Atau dijual di forum gelap (dark web).
Belum Tamat: Ancaman Lanjutan
Meskipun domain dan infrastruktur utama sudah disita, laporan dari Security Affairs menyebutkan bahwa operator RaccoonO365 telah mengumumkan rencana untuk beralih ke tautan baru.
Artinya, meskipun operasi ini merupakan disruption signifikan, perang melawan RaccoonO365 belum berakhir.
Pelajaran dari Kasus RaccoonO365
- Phishing semakin mudah diakses — siapa pun bisa “menyewa” layanan serangan.
- Teknologi sah bisa disalahgunakan — bahkan layanan seperti Cloudflare dapat menjadi “perisai” bagi pelaku.
- MFA bukan pelindung absolut — sesi aktif masih bisa dicuri jika pengguna lengah.
- Kolaborasi lintas pihak penting — keberhasilan operasi ini berkat kerja sama antara korporasi (Microsoft, Cloudflare), lembaga hukum, dan komunitas riset keamanan.
Sumber Berita & Referensi
- Microsoft Official Blog – “Microsoft seizes 338 websites to disrupt RaccoonO365 phishing service”
๐ https://blogs.microsoft.com/on-the-issues/2025/09/16/microsoft-seizes-338-websites-to-disrupt-rapidly-growing-raccoono365-phishing-service/ - The Hacker News – “RaccoonO365 Phishing Network Shut Down”
๐ https://thehackernews.com/2025/09/raccoono365-phishing-network-shut-down.html - Malwarebytes Blog – “Disrupted phishing service was after Microsoft 365 credentials”
๐ https://www.malwarebytes.com/blog/news/2025/09/disrupted-phishing-service-was-after-microsoft-365-credentials - Security Affairs – “Microsoft and Cloudflare dismantle RaccoonO365 Phishing-as-a-Service”
๐ https://securityaffairs.com/182294/cyber-crime/microsoft-and-cloudflare-teamed-up-to-dismantle-the-raccoono365-phishing-service.html - The Record by Recorded Future – “Microsoft, Cloudflare disrupt RaccoonO365 credential-stealing tool”
๐ https://therecord.media/microsoft-cloudflare-disrupt-raccoono365-credential-stealing-tool - Dark Reading – “Microsoft Disrupts RaccoonO365 Phishing Service”
๐ https://www.darkreading.com/application-security/microsoft-disrupts-raccoono365-phishing-service
Penutup
Kasus RaccoonO365 menjadi pengingat bahwa kejahatan siber kini beroperasi seperti bisnis modern — dengan model langganan, dukungan pelanggan, dan sistem pembayaran digital.
Bagi pengguna dan organisasi, langkah pencegahan harus melampaui sekadar “tidak klik tautan mencurigakan”.
Yang diperlukan adalah budaya keamanan digital, deteksi perilaku abnormal, dan pembaruan terus-menerus pada sistem pertahanan perusahaan.
