Las autoridades de Nigeria han anunciado la detención de tres «sospechosos de fraude en Internet de alto perfil» que presuntamente participaron en ataques de suplantación de identidad dirigidos a grandes empresas, incluido el principal desarrollador del plan de suplantación de identidad como servicio (PhaaS) de RacCoono365.
El Centro Nacional de Ciberdelincuencia de la Policía de Nigeria (NPF-NCCC) dijo que las investigaciones realizadas en colaboración con Microsoft y la Oficina Federal de Investigaciones (FBI) condujeron a la identificación de Okitipi Samuel, también conocido como Moses Felix, como el principal sospechoso y desarrollador de la infraestructura de suplantación de identidad.
«Las investigaciones revelan que operaba un canal de Telegram a través del cual se vendían enlaces de suplantación de identidad a cambio de criptomonedas y alojaba portales de inicio de sesión fraudulentos en Cloudflare utilizando credenciales de correo electrónico robadas u obtenidas de forma fraudulenta», dijo el NPF dijo en una publicación compartida en las redes sociales.
Además, se han incautado computadoras portátiles, dispositivos móviles y otros equipos digitales relacionados con la operación tras las operaciones de registro realizadas en sus residencias. Las otras dos personas arrestadas no tienen relación con la creación u operación del servicio PhaaS, según la NPF.
Raccoono365 es el nombre asignado a un grupo de amenazas con motivaciones financieras detrás de un conjunto de herramientas de PhaaS que permite a los delincuentes llevar a cabo ataques de recolección de credenciales publicando páginas de suplantación de identidad que imitan las páginas de inicio de sesión de Microsoft 365. Microsoft está rastreando al autor de la amenaza con el nombre de Storm-2246.
En septiembre de 2025, el gigante tecnológico dijo trabajó con Cloudflare para apoderarse de 338 dominios utilizados por RacCoono365. Se estima que la infraestructura de suplantación de identidad atribuida al conjunto de herramientas ha provocado el robo de al menos 5000 credenciales de Microsoft en 94 países desde julio de 2024.
La NPF dijo que RacCoono365 se utilizó para configurar portales de inicio de sesión fraudulentos de Microsoft destinados a robar las credenciales de los usuarios y utilizarlas para obtener acceso ilegal a las plataformas de correo electrónico de instituciones corporativas, financieras y educativas. La investigación conjunta ha descubierto múltiples incidentes de acceso no autorizado a cuentas de Microsoft 365 entre enero y septiembre de 2025, que se originaron a partir de mensajes de suplantación de identidad creados para imitar las páginas de autenticación legítimas de Microsoft.
Estas actividades llevaron a comprometer el correo electrónico empresarial, a filtraciones de datos y a pérdidas financieras en múltiples jurisdicciones, agregó la NPF.
Una demanda civil presentada por Microsoft y Health-ISAC en septiembre acusó a los acusados Joshua Ogundipe y a otros cuatro John Does de organizar una operación ciberdelictiva al «vender, distribuir, comprar e implementar» el kit de suplantación de identidad para facilitar la sofisticada suplantación de identidad y extraer información confidencial.
Los datos robados se utilizan luego para alimentar más delitos cibernéticos, incluidos ataques de correo electrónico empresarial, fraudes financieros y ataques de ransomware, así como para cometer violaciones de la propiedad intelectual.
El desarrollo se produce cuando Google presentó una demanda contra los operadores del Dárcula El servicio PhaaS nombró líder del grupo al ciudadano chino Yucheng Chang junto con otros 24 miembros. La empresa busca una orden judicial para apoderarse de la infraestructura de servidores del grupo, responsable de una ola de ataques masivos en los que se han hecho pasar por entidades gubernamentales estadounidenses.
La noticia de la demanda fue reportado por primera vez por NBC News el 17 de diciembre de 2025. El desarrollo se produce poco más de un mes después de que Google también demandó Los piratas informáticos con sede en China se asociaron con otro servicio de PhaaS conocido como Lighthouse que, según se cree, afectó a más de 1 millón de usuarios en 120 países.