Microsoft poinformował, że w środę przeprowadził skoordynowane działania prawne w USA i Wielkiej Brytanii, które doprowadziły do unieruchomienia przestępczej usługi subskrypcyjnej o nazwie RedVDS. Współpraca z organami ścigania pozwoliła firmie przejąć złośliwą infrastrukturę i wyłączyć domeny związane z usługą: redvds[.]com, redvds[.]pro oraz vdspanel[.]space.
RedVDS oferowało przestępcom dostęp do jednorazowych, wirtualnych komputerów za relatywnie niską opłatą — już za 24 USD miesięcznie (ok. 103 zł). Według Microsoftu od marca 2025 r. działania wspierane przez tę usługę przyczyniły się do około 40 mln USD zgłoszonych strat z tytułu oszustw w samych Stanach Zjednoczonych (ok. 172 mln zł). Te liczby ilustrują, jak tani i skalowalny model subskrypcyjny może znacznie zwiększyć zasięg przestępczości komputerowej.
W praktyce RedVDS funkcjonowało jako zorientowany na przestępców rynek „infrastruktury na żądanie”. Usługa sprzedawała tanie, często jednorazowe serwery z systemem Windows (RDP) z pełnymi uprawnieniami administratora i bez ograniczeń użytkowania. Serwery były dostępne w wielu lokalizacjach — m.in. w Kanadzie, USA, Francji, Holandii, Niemczech, Singapurze i Wielkiej Brytanii — a platforma oferowała panel dla resellerów umożliwiający tworzenie sub‑użytkowników bez udostępniania konta głównego. Kontrolę nad serwerami ułatwiał też bot w Telegramie, co umożliwiało zarządzanie usługą bez logowania na stronie.
Oferta była reklamowana jako wygodne rozwiązanie „do pracy z domu”, natomiast w rzeczywistości umożliwiała anonimowe prowadzenie wielopoziomowych oszustw: masowe wysyłanie wiadomości phishingowych, hostowanie infrastruktury oszustw, przeprowadzanie ataków Business Email Compromise (BEC), przejmowanie kont i dokonywanie fraudów finansowych. Operatorzy usługi celowo nie przechowywali logów aktywności, co czyniło ją jeszcze bardziej atrakcyjną dla osób działających nielegalnie. Według archiwalnych zapisów, RedVDS powstało w 2017 r., a oficjalna strona ruszyła w 2019 r.; wcześniej jego działalność prowadzono na Discordzie, ICQ i Telegramie.
Skala nadużyć była znaczna. Microsoft ocenia, że od września 2025 r. ataki napędzane przez RedVDS doprowadziły do kompromitacji lub oszukańczego dostępu do ponad 191 000 organizacji na całym świecie. Firma śledziła twórcę i administratora platformy pod pseudonimem Storm‑2470 oraz zidentyfikowała globalną sieć rozproszonych grup przestępczych wykorzystujących tę infrastrukturę. Ofiary działań obejmowały sektory takie jak prawo, budownictwo, przemysł, nieruchomości, opieka zdrowotna i edukacja, a ataki były wymierzone w instytucje w USA, Kanadzie, Wielkiej Brytanii, Francji, Niemczech, Australii i innych krajach o rozwiniętym sektorze bankowym.
RedVDS było wykorzystywane zarówno przez stałe grupy przestępcze (np. oznaczone przez Microsoft jako Storm‑2227, Storm‑1575, Storm‑1747), jak i przez autorów kampanii phishingowych, w tym tych używających zestawu RaccoonO365 przed jego rozbiciem we wrześniu 2025 r. Usługa hostowała typowe narzędzia wykorzystywane w masowych oszustwach: programy do masowej wysyłki e‑maili (m.in. SuperMailer, UltraMailer, BlueMail, SquadMailer, Email Sorter Pro/Ultimate), narzędzia do zbierania adresów e‑mail (Sky Email Extractor), aplikacje i przeglądarki sprzyjające prywatności i OPSEC (Waterfox, Avast Secure Browser, Norton Private Browser, NordVPN, ExpressVPN) oraz narzędzia zdalnego dostępu, takie jak AnyDesk.
Operatorzy RedVDS wykorzystywali też nowoczesne techniki socjotechniczne i narzędzia generatywnej sztucznej inteligencji. Microsoft zauważył, że usługa często była łączona z narzędziami AI, które przyspieszały identyfikację wartościowych celów i tworzyły realistyczne, multimedialne wątki wiadomości na potrzeby phishingu. Przestępcy uzupełniali oszustwa technikami takimi jak podmiana twarzy, manipulacja wideo czy klonowanie głosu, by przekonująco podszywać się pod konkretne osoby. Niektórzy wykorzystywali również ChatGPT i inne narzędzia OpenAI do przygotowania wiadomości wabiących ofiary oraz do zbierania informacji o strukturze organizacji, ułatwiających późniejsze wyłudzenia.
W raportach Microsoftu pojawiły się konkretne przykłady użycia: jeden z aktorów próbował automatycznie wysyłać e‑maile przez Microsoft Power Automate (Flow) z wykorzystaniem Excela — bez powodzenia — a inni korzystali z usługi do przygotowywania i rozsyłania wiarygodnych wiadomości phishingowych mających na celu wykradanie poświadczeń i przejmowanie skrzynek pocztowych. Wszystko to służyło ostatecznemu celowi: przeprowadzaniu przekonujących scamów BEC, polegających na wkradaniu się w prawdziwe konwersacje mailowe z dostawcami i wystawianiu fałszywych faktur, które zmuszały ofiary do przelania pieniędzy na konta podstawione (tzw. mule accounts).
Interesujący jest fakt, że w regulaminie usługi znajdował się zapis zakazujący używania RedVDS do wysyłki phishingu, dystrybucji złośliwego oprogramowania, transferu nielegalnych treści, skanowania podatności czy ataków DoS — jasno wskazujący na próbę maskowania rzeczywistego przeznaczenia platformy i ograniczenia odpowiedzialności. Mimo tych zapisów, zachowania użytkowników i wykryte dowody wskazywały na powszechne i uporczywe wykorzystywanie infrastruktury do przestępstw.
Techniczne śledztwo wykazało istotną słabość operacyjną RedVDS: większość hostów była tworzona z tej samej, sklonowanej instalacji Windows Server 2022 — użyto jednej wersji testowej (Windows Eval 2022) i tego samego identyfikatora komputera (WIN‑BUNS25TD77J). Operator kopiował obraz wzorcowego wirtualnego komputera (master VM) na nowe hosty za pomocą technologii wirtualizacji QEMU z użyciem sterowników VirtIO; proces był zautomatyzowany i płatności przyjmowano w kryptowalutach. Dzięki temu można było uruchomić nowy, gotowy do użycia host RDP w ciągu kilku minut, co umożliwiało szybkie skalowanie operacji przestępczych przy niskich kosztach.
Microsoft podkreślił, że RedVDS zapewniało „wysoko tolerancyjne, tanie i odporne środowisko”, które ułatwiało przestępcom ukrycie i przeprowadzenie kolejnych etapów ataków: od rozpoznania celu, przez przygotowanie infrastruktury phishingowej, po kradzież poświadczeń i przejmowanie skrzynek pocztowych. Przejęcie i wyłączenie tej usługi to krok wymierny w ograniczanie możliwości przestępców, ale sprawa też wyraźnie pokazuje, jak model przestępczości „infrastruktura jako usługa” oraz narzędzia AI ułatwiają skalowanie złożonych oszustw na poziomie globalnym.