Selon BleepingComputer (Bill Toulas, 19 décembre 2025), la Nigeria Police Force National Cybercrime Centre (NPF–NCCC) a arrêté trois personnes à Lagos et dans l’État d’Edo, soupçonnées d’être liées à des attaques ciblant Microsoft 365 via le service de phishing-as-a-service Raccoon0365. L’opération a été rendue possible par des renseignements fournis par Microsoft, partagés avec le NPF–NCCC via le FBI. 🚔

Le kit « Raccoon0365 » automatisait la création de fausses pages de connexion Microsoft pour le vol d’identifiants, entraînant des cas de Business Email Compromise (BEC), des fuites de données et des pertes financières dans le monde entier. Le service aurait été responsable d’au moins 5 000 compromissions de comptes Microsoft 365 dans 94 pays. Il a été perturbé en septembre par Microsoft et Cloudflare. Le lien entre cette perturbation et l’identification des suspects au Nigeria n’est pas précisé. 🎣

Les autorités indiquent avoir mené des perquisitions aux domiciles des suspects, récupérant ordinateurs portables, téléphones mobiles et autres équipements numériques, rattachés au schéma frauduleux après analyse forensique.

Parmi les personnes arrêtées figure Okitipi Samuel, alias « RaccoonO365 » et « Moses Felix », présenté par la police comme le développeur de la plateforme. Il opérait un canal Telegram où il vendait des kits de phishing contre des cryptomonnaies, et hébergeait les pages de phishing sur Cloudflare avec des comptes créés à partir d’identifiants compromis. Le canal Telegram comptait plus de 800 membres au moment de la perturbation, avec des tarifs annoncés de 355 $/mois à 999 $/3 mois. Selon Cloudflare, le service était utilisé principalement par des cybercriminels basés en Russie.

Concernant les deux autres personnes arrêtées, la police indique ne disposer d’aucun élément les reliant à l’opération ou à la création de Raccoon0365. La personne précédemment identifiée par Microsoft comme dirigeant du service, Joshua Ogundipe, n’est pas mentionnée dans le communiqué de la police. Il s’agit d’un article de presse spécialisé relatant une opération de police et ses faits saillants.

• IOCs connus:

  • Alias: « RaccoonO365 », « Moses Felix »
  • Nom du service: « Raccoon0365 »
  • Canal: Telegram (non détaillé)

• TTPs observés:

  • Phishing-as-a-service ciblant Microsoft 365
  • Automatisation de pages de connexion Microsoft factices pour le vol d’identifiants
  • Hébergement des pages sur Cloudflare via des comptes créés avec identifiants compromis
  • Monétisation via Telegram et paiements en cryptomonnaies
  • Conséquences: BEC, fuites de données, pertes financières

🔗 Source originale : https://www.bleepingcomputer.com/news/security/nigeria-arrests-dev-of-microsoft-365-raccoon0365-phishing-platform/