Las autoridades nigerianas han anunciado el arresto de tres “conocidos sospechosos de fraude en Internet” presuntamente involucrados en ataques de phishing contra grandes corporaciones, incluido el desarrollador principal detrás del programa de phishing como servicio (PhaaS) RaccoonO365.
El Centro Nacional de Delitos Cibernéticos de la Fuerza de Policía de Nigeria (NPF-NCCC) dijo que las investigaciones realizadas en colaboración con Microsoft y la Oficina Federal de Investigaciones (FBI) llevaron a la identificación de Okitipi Samuel, también conocido como Moses Felix, como el principal sospechoso y desarrollador de la infraestructura de phishing.
“Las investigaciones revelan que operaba un canal de Telegram que vendía enlaces de phishing a cambio de criptomonedas y albergaba portales de inicio de sesión fraudulentos en Cloudflare utilizando credenciales de correo electrónico robadas u obtenidas de manera fraudulenta”, dijo la NPF en una publicación compartida en las redes sociales.
Además, durante los registros en sus domicilios se incautaron computadoras portátiles, dispositivos móviles y otros dispositivos digitales relacionados con el operativo. Según la NPF, las otras dos personas arrestadas no tienen ninguna relación con la creación o el funcionamiento del servicio PhaaS.
RaccoonO365 es el nombre de un grupo de amenazas con motivación financiera detrás de un conjunto de herramientas PhaaS que permite a los delincuentes realizar ataques de recolección de credenciales mediante la entrega de páginas de phishing que imitan las páginas de inicio de sesión de Microsoft 365. Microsoft está rastreando al actor de amenazas con el nombre de Storm-2246.
En septiembre de 2025, el gigante tecnológico dijo que había trabajado con Cloudflare para apoderarse de 338 dominios utilizados por RaccoonO365. Se estima que la infraestructura de phishing atribuida al conjunto de herramientas ha resultado en el robo de al menos 5.000 credenciales de Microsoft de 94 países desde julio de 2024.
La NPF dijo que RaccoonO365 se utilizó para configurar portales de inicio de sesión fraudulentos de Microsoft diseñados para robar credenciales de usuario y utilizarlas para obtener acceso ilegal a las plataformas de correo electrónico de instituciones corporativas, financieras y educativas. La investigación conjunta descubrió múltiples incidentes de acceso no autorizado a cuentas de Microsoft 365 entre enero y septiembre de 2025 que resultaron de mensajes de phishing diseñados para imitar páginas legítimas de autenticación de Microsoft.
Estas actividades resultaron en compromisos de correo electrónico empresarial, filtraciones de datos y pérdidas financieras en múltiples jurisdicciones, añadió la NPF.
Una demanda civil presentada en septiembre por Microsoft y Health-ISAC acusa a los demandados Joshua Ogundipe y otros cuatro John Does de llevar a cabo una operación de delito cibernético al “vender, distribuir, comprar e implementar” el kit de phishing para permitir un sofisticado phishing y recolectar información confidencial.
Los datos robados luego se utilizan para alimentar nuevos delitos cibernéticos, incluido el compromiso del correo electrónico empresarial, el fraude financiero y los ataques de ransomware, además de cometer infracciones de propiedad intelectual.
El desarrollo se produjo cuando Google presentó una demanda contra los operadores del servicio Darcula PhaaS y nombró al ciudadano chino Yucheng Chang como líder del grupo junto con otros 24 miembros. La compañía está buscando una orden judicial para confiscar la infraestructura de servidores del grupo, que está detrás de una ola masiva de estafas que se hacen pasar por agencias gubernamentales de EE. UU.
La noticia de la demanda fue reportada por primera vez por NBC News el 17 de diciembre de 2025. El desarrollo se produce poco más de un mes después de que Google también demandara a piratas informáticos con sede en China vinculados a otro servicio PhaaS llamado Lighthouse, que se cree que afectó a más de 1 millón de usuarios en 120 países.
About The Author
