Microsoft a annoncé mercredi avoir engagé une « action en justice coordonnée » aux États-Unis et au Royaume-Uni pour mettre fin à un service d'abonnement contre la cybercriminalité appelé RougeVDS qui aurait généré des millions de pertes liées à la fraude.
Cet effort, selon le géant de la technologie, fait partie d'un effort plus large d'application de la loi en collaboration avec les autorités chargées de l'application des lois, qui lui a permis de saisir des infrastructures malveillantes et de prendre en charge des services illicites (“redvds[.]com”) hors ligne.
“Pour seulement 24 dollars par mois, RedVDS permet aux criminels d'accéder à des ordinateurs virtuels jetables qui rendent la fraude peu coûteuse, évolutive et difficile à retracer”, a déclaré Steven Masada, avocat général adjoint de l'unité des crimes numériques de Microsoft. « Depuis mars 2025, l'activité basée sur RedVDS a généré environ 40 millions de dollars de pertes liées à la fraude, rien qu'aux États-Unis. »
Les offres de logiciels criminels en tant que service (CaaS) sont devenues un modèle commercial de plus en plus lucratif, transformant la cybercriminalité de ce qui était autrefois un domaine exclusif nécessitant une expertise technique en une économie souterraine dans laquelle même les acteurs malveillants en herbe et inexpérimentés peuvent mener des attaques complexes rapidement et à grande échelle.
Ces services clés en main couvrent un large spectre d'outils modulaires, allant des kits de phishing aux voleurs et ransomwares, contribuant efficacement à la professionnalisation de la cybercriminalité et s'émergeant comme un catalyseur d'attaques sophistiquées.
Microsoft a déclaré que RedVDS était présenté comme un service d'abonnement en ligne qui fournit des ordinateurs virtuels jetables et bon marché exécutant des logiciels sans licence, y compris Windows, pour permettre aux criminels d'opérer de manière anonyme et d'envoyer de gros volumes d'e-mails de phishing, d'héberger des infrastructures frauduleuses, de mettre en œuvre des programmes de compromission de courrier électronique professionnel (BEC), de procéder à des rachats de comptes et de faciliter la fraude financière.
Plus précisément, il a servi de plate-forme pour l'achat de serveurs RDP (Remote Desktop Protocol) Windows bon marché et sans licence, avec un contrôle administrateur total et aucune limite d'utilisation via une interface utilisateur riche en fonctionnalités. RedVDS, en plus de fournir des serveurs situés au Canada, aux États-Unis, en France, aux Pays-Bas, en Allemagne, à Singapour et au Royaume-Uni, propose également un panel de revendeurs pour créer des sous-utilisateurs et leur accorder l'accès à la gestion des serveurs sans avoir à partager l'accès au site principal.
Une section FAQ sur le site Web indique que les utilisateurs peuvent utiliser leur robot Telegram pour gérer leurs serveurs à partir de l'application Telegram au lieu d'avoir à se connecter au site. Notamment, le service ne tenait pas de journaux d’activité, ce qui en faisait une option intéressante pour une utilisation illicite.
Selon des instantanés capturés sur Internet Archive, RedVDS a été présenté comme un moyen « d'augmenter votre productivité et de travailler à domicile avec confort et facilité ». Le service, ont déclaré ses responsables sur le site Web désormais saisi, a été fondé pour la première fois en 2017 et fonctionnait sur Discord, ICQ et Telegram. Le site Web a été lancé en 2019.
« RedVDS est fréquemment associé à des outils d'IA générative qui aident à identifier plus rapidement des cibles de grande valeur et à générer des fils de discussion multimédias plus réalistes qui imitent des correspondances légitimes », a déclaré la société, ajoutant qu'elle « a observé que les attaquants augmentent encore leur tromperie en tirant parti des outils d'IA d'échange de visage, de manipulation vidéo et de clonage vocal pour usurper l'identité d'individus et tromper les victimes. »
 |
| Infrastructure des outils RedVDS |
Depuis septembre 2025, les attaques menées par RedVDS auraient conduit à la compromission ou à l'accès frauduleux de plus de 191 000 organisations dans le monde, soulignant la portée prolifique du service.
Le fabricant de Windows, qui suit le développeur et responsable de RedVDS sous le nom de Storm-2470, a déclaré avoir identifié un « réseau mondial de cybercriminels disparates » exploitant l'infrastructure fournie par le marché criminel pour attaquer plusieurs secteurs, notamment le droit, la construction, la fabrication, l'immobilier, la santé et l'éducation aux États-Unis, au Canada, au Royaume-Uni, en France, en Allemagne, en Australie et dans les pays ayant des cibles majeures en matière d'infrastructures bancaires.
 |
| Chaîne d'attaque RedVDS |
Parmi les acteurs de menace notables figurent Storm-2227, Storm-1575, Storm-1747 et les acteurs de phishing qui ont utilisé le kit de phishing RaccoonO365 avant sa panne en septembre 2025. L'infrastructure a été spécifiquement utilisée pour héberger une boîte à outils comprenant des logiciels malveillants et à double usage.
- Outils de courrier électronique de spam/hameçonnage en masse comme SuperMailer, UltraMailer, BlueMail, SquadMailer et Email Sorter Pro/Ultimate
- Des collecteurs d'adresses e-mail comme Sky Email Extractor pour extraire ou valider un grand nombre d'adresses e-mail
- Outils de confidentialité et OPSEC comme Waterfox, Avast Secure Browser, Norton Private Browser, NordVPN et ExpressVPN
- Outils d'accès à distance comme AnyDesk
Un acteur malveillant aurait utilisé les hôtes fournis pour envoyer par programmation (et sans succès) des e-mails via Microsoft Power Automate (Flow) à l'aide d'Excel, tandis que d'autres utilisateurs de RedVDS ont exploité ChatGPT ou d'autres outils OpenAI pour créer des pots de miel de phishing, recueillir des renseignements sur les flux de travail organisationnels pour commettre des fraudes et distribuer des messages de phishing conçus pour récolter des informations d'identification et prendre le contrôle des comptes des victimes.
 |
| Offres RedVDS |
Le but ultime de ces attaques est de mettre en place des escroqueries BEC très convaincantes, permettant aux acteurs malveillants d'exploiter des conversations légitimes par courrier électronique avec des fournisseurs et d'émettre des factures frauduleuses pour inciter les cibles à transférer des fonds vers un compte mule sous leur contrôle.
Il est intéressant de noter que leurs conditions d'utilisation interdisaient aux clients d'utiliser RedVDS pour envoyer des e-mails de phishing, distribuer des logiciels malveillants, transférer du contenu illégal, analyser les systèmes à la recherche de vulnérabilités de sécurité ou se lancer dans des attaques par déni de service (DoS). Cela suggère un effort apparent des acteurs de la menace pour limiter ou échapper à leurs responsabilités.
Microsoft a en outre déclaré avoir « identifié des attaques montrant des milliers d'informations d'identification volées, des factures volées auprès d'organisations ciblées, des envois de masse et des kits de phishing, indiquant que plusieurs hôtes Windows ont été créés à partir de la même installation de base de Windows ».
« Une enquête plus approfondie a révélé que la plupart des hôtes ont été créés à l'aide d'un seul identifiant d'ordinateur, ce qui signifie que la même licence Windows Eval 2022 a été utilisée pour créer ces hôtes. En utilisant la licence volée pour créer des images, Storm-2470 a fourni ses services à un coût nettement inférieur, ce qui rend attrayant pour les acteurs malveillants l'achat ou l'acquisition de services RedVDS.
Les serveurs cloud virtuels Windows ont été créés à partir d'une seule image Windows Server 2022, à l'aide de RDP. Toutes les instances identifiées utilisaient le même nom d'ordinateur, WIN-BUNS25TD77J. Il est estimé que Storm-2470 a créé une machine virtuelle (VM) Windows et l'a clonée à plusieurs reprises sans modifier l'identité du système.
Les instances Windows clonées sont créées à la demande à l'aide de la technologie de virtualisation Quick Emulator (QEMU) combinée aux pilotes VirtIO, avec un processus automatisé qui copie l'image de la machine virtuelle (VM) principale sur un nouvel hôte chaque fois qu'un serveur est demandé en échange d'un paiement en crypto-monnaie. Cette stratégie a permis de démarrer de nouveaux hôtes RDP en quelques minutes, permettant ainsi aux cybercriminels d'étendre leurs opérations.
« Les acteurs malveillants ont utilisé RedVDS car il fournissait un environnement hautement permissif, peu coûteux et résilient dans lequel ils pouvaient lancer et masquer plusieurs étapes de leurs opérations », a déclaré Microsoft. « Une fois provisionnés, ces hôtes Windows clonés ont fourni aux acteurs une plate-forme prête à l'emploi pour enquêter sur les cibles, configurer une infrastructure de phishing, voler des informations d'identification, détourner des boîtes aux lettres et exécuter des fraudes financières basées sur le phishing avec un minimum de frictions.
