微软周三宣布已在美国和英国采取"协同法律行动"，摧毁了一个名为RedVDS的网络犯罪订阅服务。据称该服务已造成数百万美元的欺诈损失。

这家科技巨头表示，此次行动是与执法部门合作的更广泛执法行动的一部分，使其能够没收恶意基础设施并将非法服务（"redvds[.]com"）下线。

微软数字犯罪部门助理总法律顾问Steven Masada表示："RedVDS每月仅需24美元即可为犯罪分子提供一次性虚拟计算机访问权限，使得欺诈行为成本低廉、可扩展且难以追踪。自2025年3月以来，仅在美国，RedVDS推动的活动已造成约4000万美元的已报告欺诈损失。"

犯罪软件即服务（CaaS）产品日益成为一种利润丰厚的商业模式，将网络犯罪从曾经需要专业技术的专属领域，转变为一个即使缺乏经验的新手威胁行为者也能快速大规模实施复杂攻击的地下经济。

这些交钥匙服务涵盖广泛的模块化工具，从钓鱼工具包到窃密软件再到勒索软件，有效推动了网络犯罪的专业化，并成为复杂攻击的催化剂。

微软称RedVDS被宣传为一种在线订阅服务，提供运行未经授权软件（包括Windows）的廉价一次性虚拟计算机，使犯罪分子能够匿名操作并发送大量钓鱼邮件、托管诈骗基础设施、实施商业电子邮件入侵（BEC）计划、进行账户接管以及协助金融欺诈。

具体而言，它作为一个枢纽，通过功能丰富的用户界面提供具有完全管理员控制权且无使用限制的未经授权廉价Windows远程桌面协议（RDP）服务器。除了提供位于加拿大、美国、法国、荷兰、德国、新加坡和英国的服务器外，RedVDS还提供经销商面板以创建子用户并授予他们管理服务器的权限，而无需共享主站点的访问权限。

网站上的常见问题解答部分指出，用户可以利用其Telegram机器人在Telegram应用内管理服务器，而无需登录网站。值得注意的是，该服务不保留活动日志，这使其成为非法使用的有吸引力的选择。

根据互联网档案馆捕获的快照，RedVDS被宣传为一种"提高生产力并舒适轻松地在家工作"的方式。维护者在现已被查封的网站上表示，该服务最初成立于2017年，并在Discord、ICQ和Telegram上运营。网站于2019年上线。

微软表示："RedVDS经常与生成式AI工具结合使用，帮助更快识别高价值目标，并生成更逼真、模仿合法通信的多媒体消息电子邮件线程。"并补充说，"观察到攻击者通过利用换脸、视频操纵和语音克隆AI工具冒充个人并欺骗受害者，进一步增强了欺骗性。"

RedVDS工具基础设施

自2025年9月以来，据称由RedVDS推动的攻击已导致全球超过191,000个组织遭到入侵或欺诈性访问，凸显了该服务的广泛影响范围。

这家Windows制造商以代号Storm-2470追踪RedVDS的开发者和维护者，并表示已识别出一个"全球分散的网络犯罪分子网络"，他们利用该犯罪市场提供的基础设施攻击多个行业，包括美国、加拿大、英国、法国、德国、澳大利亚以及拥有重要银行基础设施目标的国家中的法律、建筑、制造、房地产、医疗保健和教育行业。

RedVDS攻击链

一些值得注意的威胁行为者包括Storm-2227、Storm-1575、Storm-1747，以及在2025年9月被摧毁前使用RaccoonO365钓鱼工具包的钓鱼行为者。该基础设施专门用于托管包含恶意和双重用途软件的工具包：

• 大规模垃圾邮件/钓鱼邮件工具，如SuperMailer、UltraMailer、BlueMail、SquadMailer和Email Sorter Pro/Ultimate
• 电子邮件地址收集器，如Sky Email Extractor，用于抓取或验证大量电子邮件地址
• 隐私和操作安全工具，如Waterfox、Avast Secure Browser、Norton Private Browser、NordVPN和ExpressVPN
• 远程访问工具，如AnyDesk

据称，一名威胁行为者使用配置的主机通过Microsoft Power Automate（Flow）使用Excel以编程方式（但未成功）发送电子邮件，而其他RedVDS用户则利用ChatGPT或其他OpenAI工具制作钓鱼诱饵、收集有关组织工作流程的情报以进行欺诈，并分发旨在窃取凭证并控制受害者账户的钓鱼消息。

RedVDS产品

这些攻击的最终目标是实施高度可信的BEC诈骗，允许威胁行为者介入与供应商的合法电子邮件对话，并发出虚假发票，诱骗目标将资金转移到其控制的骡子账户。

有趣的是，其服务条款禁止客户使用RedVDS发送钓鱼邮件、分发恶意软件、传输非法内容、扫描系统安全漏洞或从事拒绝服务（DoS）攻击。这表明威胁行为者显然试图限制或逃避责任。