Microsoft Threat Intelligence telah memantau secara cermat meningkatnya penggunaan RedVDS, penyedia server virtual khusus yang terlibat dalam berbagai aktivitas kejahatan siber. Investigasi kami mengungkapkan bahwa RedVDS digunakan oleh berbagai pelaku ancaman untuk melakukan penipuan email bisnis (BEC), kampanye phishing, pengambilalihan akun, dan penipuan keuangan. Layanan ini menargetkan berbagai industri di seluruh dunia, termasuk hukum, konstruksi, manufaktur, real estat, perawatan kesehatan, dan pendidikan, khususnya di wilayah dengan infrastruktur perbankan yang kuat.

RedVDS menawarkan server Remote Desktop Protocol (RDP) berbasis Windows dengan harga murah dan telah diakui sebagai pasar bagi penjahat siber. Server-server ini diberikan hak akses administratif penuh dan tidak memiliki batasan penggunaan, sehingga menarik untuk aktivitas ilegal. Investigasi Microsoft terhadap aktivitas RedVDS mengungkapkan penggunaan berulang citra host Windows yang direplikasi di berbagai layanan, sebuah sidik jari teknis yang dapat digunakan oleh personel keamanan siber untuk membantu deteksi.

Kelompok di balik RedVDS (dikenal oleh Microsoft sebagai Storm-2470) telah diamati mendukung berbagai penjahat siber, termasuk mereka yang terkait dengan layanan phishing RacoonO365. RedVDS telah beroperasi sejak 2019 dan memiliki server di berbagai negara, yang dapat diakses melalui domain seperti redvds[.]com, redvds[.]pro, dan vdspanel[.]space. Layanan ini terutama menerima pembayaran dalam mata uang kripto seperti Bitcoin dan Litecoin, yang meningkatkan anonimitas transaksi.

Unit Kejahatan Digital (DCU) Microsoft, bekerja sama dengan penegak hukum internasional, baru-baru ini memulai tindakan untuk mengganggu infrastruktur RedVDS dan operasi terkait. Upaya bersama ini bertujuan untuk mengekang ancaman signifikan yang ditimbulkan oleh RedVDS, yang telah terlibat dalam kerugian penipuan sekitar $40 juta di Amerika Serikat sejak Maret 2025. Penghapusan RedVDS menandai langkah maju dalam perjuangan berkelanjutan melawan kejahatan siber dan infrastruktur tak terlihat yang memungkinkannya.