Las autoridades nigerianas anunciaron el arresto de tres «destacados sospechosos de fraude en Internet» sospechosos de estar involucrados en ataques de phishing dirigidos a grandes empresas, incluido el principal desarrollador del esquema de phishing como servicio (PhaaS) RaccoonO365.
El Centro Nacional de Delitos Cibernéticos de la Policía de Nigeria (NPF-NCCC) dijo que una investigación realizada en colaboración con Microsoft y la Oficina Federal de Investigaciones (FBI) identificó a Okitipi Samuel, también conocido como Moses Felix, como el principal sospechoso y desarrollador de la infraestructura de phishing.
«La investigación reveló que operaba un canal de Telegram que vendía enlaces de phishing a cambio de criptomonedas y albergaba un portal de inicio de sesión fraudulento en Cloudflare utilizando credenciales de correo electrónico robadas u obtenidas de manera fraudulenta», dijo NPF en una publicación compartida en las redes sociales.
Además, los operativos de búsqueda realizados en sus residencias resultaron en la incautación de computadoras portátiles, dispositivos móviles y otros equipos digitales relacionados con la operación. Según la NPF, los otros dos detenidos no tenían ninguna relación con la creación o el funcionamiento del servicio PhaaS.
RaccoonO365 es el nombre asignado al grupo de amenazas con motivación financiera detrás de los kits de herramientas PhaaS. El kit de herramientas PhaaS permite a atacantes malintencionados realizar ataques de recolección de credenciales proporcionando una página de phishing que imita la página de inicio de sesión de Microsoft 365. Microsoft está rastreando a este atacante con el nombre Storm-2246.
En septiembre de 2025, el gigante tecnológico anunció que había trabajado con Cloudflare para apoderarse de 338 dominios utilizados por RaccoonO365. Se estima que la infraestructura de phishing atribuida a este conjunto de herramientas ha robado al menos 5.000 credenciales de Microsoft de 94 países desde julio de 2024.
NPF dijo que RaccoonO365 se utilizó para configurar portales de inicio de sesión fraudulentos de Microsoft para robar credenciales de usuario y obtener acceso no autorizado a plataformas de correo electrónico de empresas, instituciones financieras e instituciones educativas. Una investigación conjunta reveló múltiples incidentes de acceso no autorizado a cuentas de Microsoft 365 entre enero y septiembre de 2025 como resultado de mensajes de phishing diseñados para imitar páginas legítimas de autenticación de Microsoft.
Estas actividades resultaron en compromisos de correo electrónico empresarial, filtraciones de datos y pérdidas financieras en múltiples jurisdicciones, añadió NPF.
Una demanda civil presentada en septiembre por Microsoft y Health-ISAC acusa al demandado Joshua Ogundipe y a otros cuatro John Does de albergar una operación de delito cibernético al «vender, distribuir, comprar e implementar» kits de phishing que facilitan el phishing sofisticado y la exfiltración de información confidencial.
Los datos robados se utilizan para facilitar nuevos delitos cibernéticos, como la vulneración del correo electrónico empresarial, el fraude financiero, los ataques de ransomware e incluso la infracción de la propiedad intelectual.
El desarrollo se produce después de que Google presentara una demanda contra los operadores del servicio Darcula PhaaS y nombrara al ciudadano chino Yucheng Chang como líder del grupo, junto con otros 24 miembros. La compañía está buscando una orden judicial para confiscar la infraestructura de servidores del grupo, que está detrás de una ola masiva de ataques disfrazados de una agencia del gobierno de Estados Unidos.
NBC News informó por primera vez sobre la demanda el 17 de diciembre de 2025. El desarrollo se produce más de un mes después de que Google demandara a piratas informáticos con sede en China asociados con otro servicio PhaaS conocido como Lighthouse, que supuestamente afectó a más de 1 millón de usuarios en 120 países.
Source link
