Las autoridades de Nigeria han anunciado el arresto de tres “sospechosos de fraude en Internet de suspensión perfil” que supuestamente han estado involucrados en ataques de phishing dirigidos a grandes corporaciones, incluido el principal desarrollador detrás del esquema de phishing como servicio (PhaaS) RaccoonO365.
El Centro Doméstico de Delitos Cibernéticos de la Fuerza de Policía de Nigeria (NPF-NCCC) dijo que las investigaciones realizadas en colaboración con Microsoft y la Oficina Federal de Investigaciones (FBI) llevaron a la identificación de Okitipi Samuel, además conocido como Moses Felix, como el principal sospechoso y desarrollador de la infraestructura de phishing.
“Las investigaciones revelan que operaba un canal de Telegram a través del cual se vendían enlaces de phishing a cambio de criptomonedas y albergaba portales de inicio de sesión fraudulentos en Cloudflare utilizando credenciales de correo electrónico robadas u obtenidas de modo fraudulenta”, dijo la NPF en una publicación compartida en las redes sociales.
Encima, tras los operativos de registro realizados en sus domicilios, se han incautado ordenadores portátiles, dispositivos móviles y otros equipos digitales vinculados a la operación. Los otros dos individuos arrestados no tienen conexión con la creación u operación del servicio PhaaS, según la NPF.
RaccoonO365 es el nombre asignado a un rama de amenazas con motivación financiera detrás de un conjunto de herramientas PhaaS que permite a los delincuentes realizar ataques de monasterio de credenciales al ofrecer páginas de phishing que imitan las páginas de inicio de sesión de Microsoft 365. Microsoft está rastreando al actor de amenazas bajo el nombre de Storm-2246.
En septiembre de 2025, el titán tecnológico dijo que trabajó con Cloudflare para apoderarse de 338 dominios utilizados por RaccoonO365. Se estima que la infraestructura de phishing atribuida al conjunto de herramientas ha provocado el robo de al menos 5.000 credenciales de Microsoft de 94 países desde julio de 2024.
La NPF dijo que RaccoonO365 se utilizó para configurar portales de inicio de sesión fraudulentos de Microsoft destinados a robar credenciales de becario y utilizarlas para obtener paso ilegal a las plataformas de correo electrónico de instituciones corporativas, financieras y educativas. La investigación conjunta ha descubierto múltiples incidentes de paso no facultado a cuentas de Microsoft 365 entre enero y septiembre de 2025 que se originaron a partir de mensajes de phishing diseñados para imitar páginas legítimas de autenticación de Microsoft.
Estas actividades provocaron la quebrantamiento del correo electrónico empresarial, filtraciones de datos y pérdidas financieras en múltiples jurisdicciones, añadió la NPF.
Una demanda civil presentada por Microsoft y Health-ISAC en septiembre acusó a los acusados Joshua Ogundipe y otros cuatro John Does de abrigar una operación cibercriminal al “entregar, distribuir, comprar e implementar” el kit de phishing para simplificar el sofisticado phishing y desviar información confidencial.
Los datos robados luego se utilizan para fomentar más delitos cibernéticos, incluidos ataques de correo electrónico empresarial, fraude financiero y ataques de ransomware, así como para cometer violaciones de propiedad intelectual.
El expansión se produce cuando Google presentó una demanda contra los operadores del servicio Darcula PhaaS, nombrando al ciudadano chino Yucheng Chang como líder del rama cercano con otros 24 miembros. La compañía está buscando una orden contencioso para confiscar la infraestructura de servidores del rama que ha estado detrás de una ola masiva de ataques que se hacen advenir por entidades gubernamentales de EE. UU.
Se estima que Darcula y sus asociados robaron casi 900.000 números de tarjetas de crédito, incluidos casi 40.000 de estadounidenses, según una investigación de la Corporación Noruega de Radiodifusión (NRK) y la empresa de ciberseguridad Mnemonic. El kit de phishing en chino surgió por primera vez en julio de 2023.
NBC News informó por primera vez sobre la demanda el 17 de diciembre de 2025. El expansión se produce poco más de un mes luego de que Google además demandara a piratas informáticos con sede en China asociados con otro servicio PhaaS conocido como Lighthouse que se cree que ha afectado a más de 1 millón de usuarios en 120 países.
