Las autoridades de Nigeria han anunciado el arresto de tres «sospechosos de fraude en Internet de alto perfil» que presuntamente han estado involucrados en ataques de phishing dirigidos a grandes corporaciones, incluido el principal desarrollador detrás del esquema de phishing como servicio (PhaaS) RaccoonO365.
El Centro Nacional de Delitos Cibernéticos de la Fuerza de Policía de Nigeria (NPF-NCCC) dijo que las investigaciones realizadas en colaboración con Microsoft y la Oficina Federal de Investigaciones (FBI) llevaron a la identificación de Okitipi Samuel, también conocido como Moses Felix, como el principal sospechoso y desarrollador de la infraestructura de phishing.
«Las investigaciones revelan que operaba un canal de Telegram a través del cual se vendían enlaces de phishing a cambio de criptomonedas y albergaba portales de inicio de sesión fraudulentos en Cloudflare utilizando credenciales de correo electrónico robadas u obtenidas de manera fraudulenta», NPF dicho en una publicación compartida en las redes sociales.
Además, tras los operativos de registro realizados en sus domicilios, se han incautado ordenadores portátiles, dispositivos móviles y otros equipos digitales vinculados a la operación. Los otros dos individuos arrestados no tienen conexión con la creación u operación del servicio PhaaS, según la NPF. Las detenciones se llevaron a cabo tras redadas en los estados de Lagos y Edo.
RaccoonO365 es el nombre asignado a un grupo de amenazas con motivación financiera detrás de un conjunto de herramientas PhaaS que permite a los delincuentes realizar ataques de recolección de credenciales al ofrecer páginas de phishing que imitan las páginas de inicio de sesión de Microsoft 365. Microsoft está rastreando al actor de amenazas bajo el nombre de Storm-2246.
En septiembre de 2025, el gigante tecnológico dicho trabajó con Cloudflare para apoderarse de 338 dominios utilizados por RaccoonO365. Se estima que la infraestructura de phishing atribuida al conjunto de herramientas ha provocado el robo de al menos 5.000 credenciales de Microsoft de 94 países desde julio de 2024.
La NPF dijo que RaccoonO365 se utilizó para configurar portales de inicio de sesión fraudulentos de Microsoft destinados a robar credenciales de usuario y utilizarlas para obtener acceso ilegal a las plataformas de correo electrónico de instituciones corporativas, financieras y educativas. La investigación conjunta ha descubierto múltiples incidentes de acceso no autorizado a cuentas de Microsoft 365 entre enero y septiembre de 2025 que se originaron a partir de mensajes de phishing diseñados para imitar páginas legítimas de autenticación de Microsoft.
Estas actividades provocaron la vulneración del correo electrónico empresarial, filtraciones de datos y pérdidas financieras en múltiples jurisdicciones, añadió la NPF.
Una demanda civil presentada por Microsoft y Health-ISAC en septiembre acusó a los acusados Joshua Ogundipe y otros cuatro John Does de albergar una operación cibercriminal al «vender, distribuir, comprar e implementar» el kit de phishing para facilitar el sofisticado phishing y desviar información confidencial.
Los datos robados luego se utilizan para alimentar más delitos cibernéticos, incluido el compromiso de correo electrónico empresarial, fraude financiero y ataques de ransomware, así como para cometer violaciones de propiedad intelectual, alega la demanda.
La demanda también identifica a Ogundipe como el cerebro detrás de la operación. Su paradero actual no está claro. Cuando se le contactó para hacer comentarios, un portavoz de Microsoft le dijo a The Hacker News que las investigaciones están en curso.
El desarrollo se produce cuando Google presentó una demanda contra los operadores del Dárcula Servicio PhaaS, nombrando al ciudadano chino Yucheng Chang como líder del grupo junto con otros 24 miembros. La compañía está buscando una orden judicial para confiscar la infraestructura de servidores del grupo que ha estado detrás de una ola masiva de ataques que se hacen pasar por entidades gubernamentales de EE. UU.
Se estima que Darcula y sus asociados robaron casi 900.000 números de tarjetas de crédito, incluidos casi 40.000 de estadounidenses, según una investigación de la Corporación Noruega de Radiodifusión (NRK) y la empresa de ciberseguridad Mnemonic. El kit de phishing en chino surgió por primera vez en julio de 2023.
La noticia de la demanda fue reportado por primera vez por NBC News el 17 de diciembre de 2025. El desarrollo se produce poco más de un mes después de que Google también demandado Hackers con sede en China asociados con otro servicio PhaaS conocido como Lighthouse que se cree que afectó a más de 1 millón de usuarios en 120 países.
Fuente