De autoriteiten in Nigeria hebben de arrestatie aangekondigd van drie ‘spraakmakende verdachten van internetfraude’ die naar verluidt betrokken zijn geweest bij phishing-aanvallen gericht op grote bedrijven, waaronder de belangrijkste ontwikkelaar achter het RaccoonO365 phishing-as-a-service (PhaaS)-programma.
Het Nigeria Police Force National Cybercrime Center (NPF-NCCC) zei dat onderzoeken uitgevoerd in samenwerking met Microsoft en het Federal Bureau of Investigation (FBI) hebben geleid tot de identificatie van Okitipi Samuel, ook wel bekend als Moses Felix, als de hoofdverdachte en ontwikkelaar van de phishing-infrastructuur.
“Uit onderzoek blijkt dat hij een Telegram-kanaal exploiteerde waarlangs phishing-links werden verkocht in ruil voor cryptocurrency en dat hij frauduleuze inlogportals op Cloudflare hostte met behulp van gestolen of frauduleus verkregen e-mailgegevens”, aldus de NPF in een bericht dat op sociale media werd gedeeld.
Bovendien zijn laptops, mobiele apparaten en andere digitale apparatuur die verband houden met de operatie in beslag genomen na huiszoekingen in hun woningen. De twee andere gearresteerde personen hebben volgens de NPF geen verband met de oprichting of exploitatie van de PhaaS-dienst.
RaccoonO365 is de naam die is toegewezen aan een financieel gemotiveerde dreigingsgroep achter een PhaaS-toolkit waarmee kwaadwillenden aanvallen kunnen uitvoeren om inloggegevens te verzamelen door phishing-pagina’s aan te bieden die de inlogpagina’s van Microsoft 365 nabootsen. Microsoft volgt de bedreigingsacteur onder de naam Storm-2246.
In september 2025 zei de technologiegigant dat het samenwerkte met Cloudflare om 338 domeinen in beslag te nemen die door RaccoonO365 werden gebruikt. De phishing-infrastructuur die aan de toolkit wordt toegeschreven, heeft naar schatting sinds juli 2024 geleid tot de diefstal van minstens 5.000 Microsoft-inloggegevens uit 94 landen.
De NPF zei dat RaccoonO365 werd gebruikt om frauduleuze Microsoft-inlogportals op te zetten, gericht op het stelen van gebruikersgegevens en deze te gebruiken om onrechtmatige toegang te krijgen tot de e-mailplatforms van zakelijke, financiële en onderwijsinstellingen. Het gezamenlijke onderzoek heeft tussen januari en september 2025 meerdere incidenten van ongeautoriseerde Microsoft 365-accounttoegang aan het licht gebracht die voortkwamen uit phishing-berichten die waren gemaakt om legitieme Microsoft-authenticatiepagina’s na te bootsen.
Deze activiteiten hebben geleid tot het compromitteren van zakelijke e-mail, datalekken en financiële verliezen in meerdere rechtsgebieden, voegde de NPF eraan toe.
Een civiele rechtszaak die in september door Microsoft en Health-ISAC werd aangespannen, heeft verdachten Joshua Ogundipe en vier andere John Does ervan beschuldigd een cybercriminele operatie te organiseren door de phishing-kit te ‘verkopen, distribueren, kopen en implementeren’ om geavanceerde spear-phishing mogelijk te maken en gevoelige informatie over te hevelen.
De gestolen gegevens worden vervolgens gebruikt om nog meer cybercriminaliteit aan te wakkeren, waaronder het compromitteren van zakelijke e-mail, financiële fraude en ransomware-aanvallen, en om schendingen van intellectueel eigendom te plegen.
De ontwikkeling komt op het moment dat Google een rechtszaak heeft aangespannen tegen de exploitanten van de Darcula PhaaS-dienst, waarbij de Chinese staatsburger Yucheng Chang samen met 24 andere leden de leider van de groep is. Het bedrijf vraagt om een gerechtelijk bevel om beslag te leggen op de serverinfrastructuur van de groep, die achter een enorme golf zit die zich voordoet als Amerikaanse overheidsinstanties.
Volgens een onderzoek van de Norwegian Broadcasting Corporation (NRK) en cyberbeveiligingsbedrijf Mnemonic hebben Darcula en medewerkers naar schatting bijna 900.000 creditcardnummers gestolen, waaronder bijna 40.000 van Amerikanen. De Chineestalige phishing-kit verscheen voor het eerst in juli 2023.
Het nieuws over de rechtszaak werd voor het eerst gerapporteerd door NBC News op 17 december 2025. De ontwikkeling komt iets meer dan een maand nadat Google ook in China gevestigde hackers heeft aangeklaagd die geassocieerd zijn met een andere PhaaS-service, bekend als Lighthouse, waarvan wordt aangenomen dat deze meer dan 1 miljoen gebruikers in 120 landen heeft getroffen.
