La Digital Crimes Unit di Microsoft ha sequestrato 338 domini legati a un servizio di phishing in abbonamento potenziato dall’intelligenza artificiale. RaccoonO365 prendeva di mira ospedali, aziende sanitarie e utenti Microsoft 365: così agiva la nuova frontiera del crimine digitale automatizzato.
È un attacco silenzioso ma micidiale, che ha colpito centinaia di strutture sanitarie e migliaia di utenti nel mondo: dietro c’è RaccoonO365, una piattaforma criminale in stile “abbonamento” che ha sfruttato moduli di intelligenza artificiale per rendere più credibili, automatizzati e personalizzati i suoi attacchi di phishing.
A contrastarlo è intervenuta direttamente Microsoft, che ha annunciato lo smantellamento di 338 siti web associati al gruppo tramite la sua Digital Crimes Unit (DCU).
RaccoonO365: il phishing diventa un servizio su misura con AI
Nell’ecosistema in continua evoluzione delle minacce informatiche, RaccoonO365 rappresentava un salto di livello: non si trattava più di singoli attacchi orchestrati da un hacker solitario, ma di una struttura industriale che forniva strumenti e accessi in modalità “as-a-service”, con dashboard intuitive, report automatici e persino assistenza clienti per i criminali.
Il servizio consentiva a chiunque, anche senza competenze tecniche, di avviare campagne di phishing mirate su utenti Microsoft 365, utilizzando template realistici di email e pagine di login false quasi indistinguibili da quelle ufficiali. I dati rubati – nome utente, password, e in molti casi anche codici MFA (autenticazione a più fattori) – venivano poi rivenduti o utilizzati per accedere a caselle email aziendali, documenti riservati, sistemi sanitari e persino cartelle cliniche elettroniche.
Nel 2025, la novità è l’integrazione con modelli linguistici AI, che permettevano al sistema di generare automaticamente email di phishing personalizzate in base al settore, alla lingua e al comportamento del target. Questo rendeva l’attacco non solo più credibile, ma anche estremamente scalabile e difficile da rilevare.
Microsoft ha identificato centinaia di domini appositamente registrati per simulare servizi legittimi, intercettare credenziali e reindirizzare utenti ignari verso ambienti controllati dai criminali. I server erano spesso ospitati su cloud pubblici e hosting off-shore, con rotazione frequente degli indirizzi IP per eludere i controlli automatici.
Settore sanitario nel mirino: perché RaccoonO365 ha scelto proprio ospedali e aziende sanitarie
Uno degli aspetti più preoccupanti del caso riguarda la specifica scelta delle vittime: tra i bersagli principali del gruppo c’erano ospedali, ASL, laboratori privati e altri enti legati alla sanità, in particolare negli Stati Uniti, nel Regno Unito e in alcuni paesi dell’Unione Europea.
La ragione è chiara: l’accesso a sistemi sanitari non solo consente il furto di dati estremamente sensibili (dati anagrafici, informazioni mediche, referti clinici), ma permette anche di attivare ulteriori attacchi a catena, come ransomware, estorsioni mirate o compromissione della supply chain medica.
Secondo le analisi condotte da Microsoft tra giugno e settembre 2025, più del 40% degli attacchi lanciati da RaccoonO365 avevano come target primario il settore sanitario, mentre il restante era distribuito tra PMI, aziende tecnologiche e istituzioni pubbliche.
Alcune strutture hanno subito interruzioni nei servizi digitali, con cartelle cliniche bloccate e sistemi di prenotazione offline per ore, causando disagi notevoli ai pazienti. Microsoft non ha rilasciato dettagli sui singoli obiettivi, ma ha confermato che diverse agenzie governative sono state coinvolte nel coordinamento delle operazioni di blocco e sequestro dei domini.
Come difendersi oggi da attacchi di phishing AI-based
Il caso RaccoonO365 dimostra come il phishing sia ormai diventato una minaccia evoluta, in grado di utilizzare strumenti automatici, intelligenza artificiale e infrastrutture scalabili per colpire su larga scala. Nel 2025, non basta più diffidare delle email con errori ortografici o indirizzi sospetti.
Gli esperti di sicurezza consigliano alcune misure fondamentali:
Abilitare l’autenticazione a più fattori (MFA) su tutti gli account, inclusi quelli Microsoft 365
Utilizzare soluzioni di sicurezza che integrano AI per il rilevamento delle minacce in tempo reale
Aggiornare regolarmente software e browser, poiché molti attacchi sfruttano vulnerabilità note
Formare periodicamente i dipendenti con simulazioni di phishing aggiornate agli ultimi modelli di attacco
Microsoft ha inoltre messo a disposizione un portale dedicato per le aziende che vogliono verificare se sono state coinvolte nel leak o se uno dei loro domini è stato falsificato. Alcuni strumenti di email filtering avanzato già integrano moduli per rilevare tentativi simili a quelli usati da RaccoonO365.
Nel mondo della cybercriminalità del 2025, il phishing è diventato un business strutturato, con tanto di abbonamenti, moduli AI e supporto tecnico. L’intervento di Microsoft segna un passo importante nella lotta contro queste piattaforme, ma il rischio resta alto, soprattutto per i settori più vulnerabili come la sanità. L’attenzione degli utenti e delle aziende deve restare alta, perché l’ingegneria sociale automatizzata è oggi uno degli strumenti più potenti a disposizione dei criminali digitali.