尼日利亚逮捕与微软 365 攻击相关的 RaccoonO365 网络钓鱼开发者

尼日利亚当局宣布逮捕三名“高调网络诈骗嫌疑人”，他们被指涉嫌针对大型企业进行网络钓鱼攻击，其中包括RaccoonO365钓鱼即服务（PhaaS）计划的主要开发者。

尼日利亚警察局国家网络犯罪中心（NPF‑NCCC）表示，与微软和美国联邦调查局（FBI）合作的调查确定了 Okitipi Samuel，也被称为 Moses Felix，作为该钓鱼基础设施的主要嫌疑人和开发者。

调查显示，他通过一个 Telegram 频道出售钓鱼链接，换取加密货币，并利用被窃取或伪造的电子邮件凭证，在 Cloudflare 上托管欺诈性登录门户。

此外，执法部门在对其住所进行搜查后，已扣押与此次行动相关的笔记本电脑、移动设备及其他数字设备。警方称，另外两名被捕人员并未参与该 PhaaS 服务的创建或运营。此次逮捕在拉各斯和埃多州实施的突袭行动后完成。

RaccoonO365 是一个以获利为目的的威胁组织的名称，其背后是一个 PhaaS 工具包，使恶意行为者能够通过提供模仿 Microsoft 365 登录页面的钓鱼页面来进行凭证收割攻击。微软将该威胁行为者标记为代号 Storm‑2246。

早在 2025 年 9 月，微软曾表示已与 Cloudflare 合作，查封了 RaccoonO365 使用的 338 个域名。该工具包关联的钓鱼基础设施估计自 2024 年 7 月以来，已在 94 个国家盗取至少 5,000 条 Microsoft 凭证。

尼日利亚警局称，RaccoonO365 被用于搭建伪造的 Microsoft 登录门户，以窃取用户凭证，并利用这些凭证非法访问企业、金融和教育机构的邮件平台。联合调查在 2025 年 1 月至 9 月期间发现多起未经授权的 Microsoft 365 账户访问事件，这些事件均源自伪装成合法 Microsoft 认证页面的钓鱼邮件。

这些活动导致了商业邮件欺诈、数据泄露以及跨多个司法管辖区的财务损失，警方补充说。

微软和 Health‑ISAC 于 9 月提起的民事诉讼指控被告 Joshua Ogundipe 及其他四名未知身份者通过“销售、分发、购买及实施”该钓鱼工具包，来促成高级鱼叉式钓鱼并窃取敏感信息。

被窃取的数据随后被用于推动更多网络犯罪，包括商业邮件欺诈、金融诈骗、勒索软件攻击，以及侵犯知识产权，诉讼中如此指称。

诉讼还指出，Ogundipe 是此次行动的主谋。其目前行踪不明。接受本报记者采访时，微软发言人表示，调查仍在进行中。

与此同时，谷歌对 Darcula PhaaS 服务的运营者提起诉讼，指控中国公民常玉成为该组织的领袖，并列出另外 24 名成员。谷歌正寻求法院命令，查封该组织的服务器基础设施，该基础设施已用于大规模的冒充美国政府机构的短信钓鱼（smishing）攻击。

据挪威广播公司（NRK）和网络安全公司 Mnemonic 的调查显示，Darcula 及其关联方估计盗取了近 90 万张信用卡号，其中近 4 万张来自美国。该中文钓鱼工具包最早出现在 2023 年 7 月。

该诉讼新闻最早于 2025 年 12 月 17 日由 NBC News 报道。这一进展紧随谷歌在一个多月前对另一起名为 Lighthouse 的 PhaaS 服务的中国黑客提起诉讼，该服务据称影响了 120 个国家的超过 100 万用户。