Giới chức Nigeria đã thông báo bắt giữ ba "nghi phạm lừa đảo qua mạng cao cấp" bị cáo buộc liên quan đến các cuộc tấn công phishing nhắm vào các tập đoàn lớn, bao gồm nhà phát triển chính đứng sau chương trình phishing-as-a-service (PhaaS) RaccoonO365.
Trung tâm Tội phạm mạng Quốc gia thuộc Lực lượng Cảnh sát Nigeria (NPF–NCCC) cho biết các cuộc điều tra được thực hiện với sự hợp tác của Microsoft và Cục Điều tra Liên bang (FBI) đã dẫn đến việc xác định Okitipi Samuel, còn được biết đến với tên Moses Felix, là nghi phạm chính và nhà phát triển của hạ tầng phishing.
“Các cuộc điều tra cho thấy hắn ta đã điều hành một kênh Telegram để bán các liên kết phishing đổi lấy cryptocurrency và lưu trữ các cổng đăng nhập giả mạo trên Cloudflare bằng cách sử dụng thông tin đăng nhập email bị đánh cắp hoặc thu thập bất hợp pháp,” NPF cho biết trong một bài đăng trên mạng xã hội.
Ngoài ra, máy tính xách tay, thiết bị di động và các thiết bị kỹ thuật số khác liên quan đến hoạt động này đã bị thu giữ sau các cuộc khám xét tại nơi ở của chúng. Hai cá nhân bị bắt giữ còn lại không có liên quan đến việc tạo hoặc vận hành dịch vụ PhaaS, theo NPF.
RaccoonO365 là tên được đặt cho một nhóm tác nhân đe dọa có động cơ tài chính đứng sau một bộ công cụ PhaaS cho phép những kẻ tấn công thực hiện các cuộc tấn công credential harvesting bằng cách hiển thị các trang phishing giả mạo trang đăng nhập Microsoft 365. Microsoft đang theo dõi tác nhân đe dọa này dưới biệt danh Storm-2246.
Vào tháng 9 năm 2025, gã khổng lồ công nghệ cho biết họ đã làm việc với Cloudflare để thu giữ 338 tên miền được sử dụng bởi RaccoonO365. Hạ tầng phishing được cho là của bộ công cụ này ước tính đã dẫn đến việc đánh cắp ít nhất 5.000 thông tin đăng nhập Microsoft từ 94 quốc gia kể từ tháng 7 năm 2024.
NPF cho biết RaccoonO365 đã được sử dụng để thiết lập các cổng đăng nhập Microsoft giả mạo nhằm đánh cắp thông tin đăng nhập của người dùng và sử dụng chúng để truy cập trái phép vào các nền tảng email của các tổ chức doanh nghiệp, tài chính và giáo dục. Cuộc điều tra chung đã phát hiện nhiều sự cố truy cập tài khoản Microsoft 365 trái phép từ tháng 1 đến tháng 9 năm 2025, bắt nguồn từ các tin nhắn phishing được tạo ra để giả mạo các trang xác thực Microsoft hợp pháp.
Những hoạt động này đã dẫn đến business email compromise, data breaches và tổn thất tài chính trên nhiều khu vực pháp lý, NPF cho biết thêm.
Một vụ kiện dân sự do Microsoft và Health-ISAC đệ trình vào tháng 9 đã cáo buộc các bị cáo Joshua Ogundipe và bốn John Does khác về việc lưu trữ một hoạt động tội phạm mạng bằng cách "bán, phân phối, mua và triển khai" bộ công cụ phishing để tạo điều kiện cho các cuộc spear-phishing tinh vi và đánh cắp thông tin nhạy cảm.
Dữ liệu bị đánh cắp sau đó được sử dụng để thúc đẩy các tội phạm mạng khác, bao gồm business email compromise, financial fraud và các cuộc tấn công ransomware, cũng như vi phạm quyền sở hữu trí tuệ.
Các Vụ Kiện Liên Quan của Google
Sự phát triển này diễn ra khi Google đệ đơn kiện những kẻ điều hành dịch vụ PhaaS Darcula, nêu tên công dân Trung Quốc Yucheng Chang là thủ lĩnh của nhóm cùng với 24 thành viên. Công ty đang tìm kiếm lệnh của tòa án để thu giữ hạ tầng máy chủ của nhóm này, vốn đứng sau một làn sóng smishing lớn giả mạo các cơ quan chính phủ Hoa Kỳ.
Thông tin về vụ kiện đã được đầu tiên đưa tin bởi NBC News vào ngày 17 tháng 12 năm 2025. Sự việc này diễn ra chỉ hơn một tháng sau khi Google cũng kiện các hacker có trụ sở tại Trung Quốc liên quan đến một dịch vụ PhaaS khác có tên Lighthouse, được cho là đã ảnh hưởng đến hơn 1 triệu người dùng trên 120 quốc gia.
