Nigeria arresta al desarrollador de RaccoonO365, plataforma PhaaS vinculada a ataques masivos contra Microsoft 365
Las autoridades de Nigeria confirmaron la detención de uno de los principales responsables detrás de RaccoonO365, un servicio de phishing-as-a-service (PhaaS) ampliamente utilizado para comprometer cuentas de Microsoft 365 a escala global.
La operación fue ejecutada por la Policía de Nigeria, a través del National Cybercrime Center (NPF‑NCCC), con apoyo de inteligencia compartida por Microsoft y el Federal Bureau of Investigation (FBI).
Detalles de la detención
De acuerdo con el comunicado oficial, las autoridades arrestaron a tres sospechosos en los estados de Lagos y Edo, entre ellos Okitipi Samuel, también conocido por los alias RaccoonO365 y Moses Felix, señalado como el principal desarrollador del kit malicioso.
La investigación vincula directamente a RaccoonO365 con más de 5,000 cuentas de Microsoft 365 comprometidas en al menos 94 países desde julio de 2024. Durante los cateos realizados en los domicilios de los detenidos, la policía incautó laptops, teléfonos móviles y otros dispositivos digitales, que ahora forman parte de la evidencia forense.
El alcance de RaccoonO365
RaccoonO365 operaba como una plataforma completamente automatizada para campañas de phishing, permitiendo a otros actores criminales generar portales falsos de inicio de sesión de Microsoft de manera rápida y a bajo costo.
Las credenciales robadas eran utilizadas para:
-
Fraude de correo corporativo (BEC)
-
Acceso no autorizado a información sensible
-
Compromiso de cuentas empresariales y financieras
En septiembre de 2025, Cloudflare y Microsoft anunciaron una operación conjunta que logró desmantelar 338 dominios asociados a la infraestructura del servicio, afectando directamente su capacidad operativa.
El servicio se comercializaba a través de Telegram, donde los operadores vendían enlaces de phishing a cambio de criptomonedas y utilizaban credenciales robadas para abusar de servicios de infraestructura, incluyendo cuentas de Cloudflare.
Conexiones internacionales y vacíos en la investigación
Aunque Cloudflare ha señalado que gran parte del uso de RaccoonO365 estaba vinculado a ciberdelincuentes de origen ruso, los arrestos confirman vínculos operativos en Nigeria, reforzando la naturaleza transnacional del ecosistema PhaaS.
Un punto relevante es que Joshua Ogundipe, previamente identificado por Microsoft como posible líder de la operación bajo el identificador de amenaza Storm-2246, no fue mencionado en el anuncio oficial del NPF-NCCC, lo que sugiere que las investigaciones aún están en curso o que existen más actores involucrados.
Implicaciones para equipos de TI y seguridad
El caso subraya cómo los modelos as-a-service han reducido drásticamente la barrera de entrada al cibercrimen, permitiendo que actores con conocimientos técnicos limitados ejecuten campañas sofisticadas de phishing contra entornos cloud empresariales.
Para organizaciones que dependen de Microsoft 365, este tipo de plataformas representa un riesgo persistente, incluso cuando la infraestructura maliciosa es desmantelada, ya que los kits suelen reaparecer bajo nuevos nombres o con pequeñas variaciones.
Recomendaciones de mitigación
Para reducir el impacto de este tipo de amenazas, se recomienda:
-
Habilitar y exigir MFA en Microsoft 365 para todos los usuarios, sin excepciones.
-
Capacitar continuamente al personal en detección de correos y portales de phishing.
-
Monitorear accesos sospechosos mediante los logs de Azure Active Directory y alertas de comportamiento anómalo.
-
Revisar indicadores de compromiso (IOCs) publicados por Microsoft para la amenaza Storm-2246.
-
Utilizar herramientas como Microsoft Defender para detectar kits PhaaS y actividad de credenciales comprometidas.
-
Reportar incidentes a las autoridades locales y dar seguimiento a comunicados del NPF-NCCC sobre nuevas detenciones o desmantelamientos.