Le autorità in Nigeria hanno annunciato l’arresto di tre sospetti coinvolti in frodi informatiche e attacchi di phishing contro grandi organizzazioni. Tra i fermati figura il presunto sviluppatore principale di RaccoonO365, un servizio phishing-as-a-service (PhaaS) che ha preso di mira in particolare gli account Microsoft 365. L’operazione è stata condotta dal National Cybercrime Centre della polizia nigeriana in collaborazione con Microsoft e con l’FBI, a conferma di quanto la cyber sicurezza richieda oggi indagini coordinate a livello internazionale.
Secondo quanto emerso, l’infrastruttura di RaccoonO365 avrebbe permesso a cyber criminali di creare pagine di accesso false che imitano il login Microsoft 365, con l’obiettivo di rubare credenziali aziendali. I link di phishing sarebbero stati distribuiti e venduti tramite un canale Telegram, con pagamenti in criptovaluta. Un altro elemento chiave riguarda l’uso di servizi come Cloudflare per ospitare portali fraudolenti, sfruttando email rubate o ottenute in modo illecito per facilitare la messa in opera delle campagne.
Durante le perquisizioni, le forze dell’ordine hanno sequestrato laptop, smartphone e altri dispositivi digitali collegati alle attività illecite. Le autorità hanno precisato che due degli arrestati non sarebbero collegati direttamente alla creazione o alla gestione del toolkit PhaaS, mentre il principale indiziato viene indicato come responsabile dello sviluppo della piattaforma utilizzata per il credential harvesting.
RaccoonO365 è associato a un gruppo motivato da finalità economiche e monitorato come Storm 2246. In precedenza, un’azione coordinata aveva portato al sequestro di centinaia di domini usati per le campagne, e l’infrastruttura è stata collegata al furto di migliaia di credenziali Microsoft in decine di paesi a partire dal 2024. Le credenziali sottratte sono state poi impiegate per accessi non autorizzati a caselle email di organizzazioni corporate, finanziarie ed educative, causando business email compromise, violazioni di dati e perdite economiche.
Il caso evidenzia come il phishing Microsoft 365 resti una minaccia critica per le aziende, soprattutto quando i kit vengono venduti come servizio e riutilizzati su larga scala da attori diversi, con impatti che attraversano più giurisdizioni e settori.