В ходе масштабной международной операции правоохранительные органы Нигерии арестовали трех подозреваемых в крупном интернет-мошенничестве, ключевым из которых является Окитипи Самюэль (Okitipi Samuel), также известный под псевдонимом Мозес Феликс (Moses Felix). Задержание стало результатом совместной работы Национального центра по борьбе с киберпреступностью полиции Нигерии (NPF–NCCC), корпорации Microsoft и Федерального бюро расследований США (FBI). Самюэль идентифицирован как главный подозреваемый и основной разработчик фишинговой инфраструктуры RaccoonO365. Двое других задержанных, по данным следствия, не участвовали в создании сервиса, но являлись его пользователями или партнерами.
Разработанный подозреваемым инструментарий RaccoonO365 представляет собой модель «фишинг как услуга» (PhaaS), позволяющую злоумышленникам осуществлять массовый сбор учетных данных. В классификации Microsoft эта угроза отслеживается под кодовым названием Storm-2246. Механизм работы сервиса заключался в создании поддельных страниц входа, имитирующих интерфейс Microsoft 365. Это позволяло хакерам получать незаконный доступ к корпоративным, финансовым и образовательным почтовым платформам. Полученные данные в дальнейшем использовались для компрометации деловой переписки (BEC), финансовых махинаций, атак с использованием программ-вымогателей и нарушения прав интеллектуальной собственности.
Модус операнди Окитипи Самюэля включал использование мессенджера Telegram для продажи фишинговых ссылок за криптовалюту. Для размещения мошеннических порталов входа использовались ресурсы Cloudflare, а сама атака опиралась на использование украденных или мошенническим путем полученных учетных данных электронной почты. Расследование показало, что деятельность группы носила глобальный характер. Согласно статистике, собранной начиная с июля 2024 года, жертвами кражи учетных данных стали более 5 000 пользователей. География атак охватила 94 страны мира.
Совместное расследование, проводившееся с января 2025 года по сентябрь 2025 года, выявило многочисленные инциденты несанкционированного доступа к системам Microsoft 365. Кульминацией технических контрмер стала операция в сентябре 2025 года, когда Microsoft и Cloudflare конфисковали 338 доменов, использовавшихся в преступной схеме. Эти действия позволили существенно подорвать инфраструктуру злоумышленников еще до физических арестов.
Параллельно с уголовным преследованием в Нигерии, в сентябре 2025 года Microsoft и организация Health-ISAC подали гражданский иск против операторов сети. В качестве ответчиков в иске фигурируют Джошуа Огундипе (Joshua Ogundipe) и четверо неустановленных лиц («John Does»). Им предъявлены обвинения в поддержке киберпреступной деятельности посредством продажи, распространения, покупки и внедрения фишингового набора инструментов.
Борьба с подобными PhaaS-платформами ведется и другими технологическими гигантами. Согласно сообщению NBC News от 17 декабря 2025 года, компания Google инициировала судебное разбирательство против операторов сервиса Darcula. Ключевым ответчиком по этому делу выступает гражданин Китая Ючэн Чанг (Yucheng Chang), являющийся предполагаемым лидером группы. Вместе с ним обвиняются еще 24 участника. Группировка специализировалась на волне смс-фишинга (смишинга), в рамках которой они выдавали себя за правительственные структуры США. Целью иска является получение судебного ордера на захват серверной инфраструктуры преступников.
Примерно за месяц до отчета от 17 декабря 2025 года Google подала аналогичный иск против хакеров из Китая, связанных с PhaaS-сервисом Lighthouse. Масштаб деятельности этой группировки оказался еще более значительным: от их действий пострадало более 1 миллиона пользователей в 120 странах. Эти скоординированные действия корпораций и правоохранительных органов демонстрируют системный подход к ликвидации глобальных экосистем киберпреступности.
Изображение носит иллюстративный характер
Разработанный подозреваемым инструментарий RaccoonO365 представляет собой модель «фишинг как услуга» (PhaaS), позволяющую злоумышленникам осуществлять массовый сбор учетных данных. В классификации Microsoft эта угроза отслеживается под кодовым названием Storm-2246. Механизм работы сервиса заключался в создании поддельных страниц входа, имитирующих интерфейс Microsoft 365. Это позволяло хакерам получать незаконный доступ к корпоративным, финансовым и образовательным почтовым платформам. Полученные данные в дальнейшем использовались для компрометации деловой переписки (BEC), финансовых махинаций, атак с использованием программ-вымогателей и нарушения прав интеллектуальной собственности.
Модус операнди Окитипи Самюэля включал использование мессенджера Telegram для продажи фишинговых ссылок за криптовалюту. Для размещения мошеннических порталов входа использовались ресурсы Cloudflare, а сама атака опиралась на использование украденных или мошенническим путем полученных учетных данных электронной почты. Расследование показало, что деятельность группы носила глобальный характер. Согласно статистике, собранной начиная с июля 2024 года, жертвами кражи учетных данных стали более 5 000 пользователей. География атак охватила 94 страны мира.
Совместное расследование, проводившееся с января 2025 года по сентябрь 2025 года, выявило многочисленные инциденты несанкционированного доступа к системам Microsoft 365. Кульминацией технических контрмер стала операция в сентябре 2025 года, когда Microsoft и Cloudflare конфисковали 338 доменов, использовавшихся в преступной схеме. Эти действия позволили существенно подорвать инфраструктуру злоумышленников еще до физических арестов.
Параллельно с уголовным преследованием в Нигерии, в сентябре 2025 года Microsoft и организация Health-ISAC подали гражданский иск против операторов сети. В качестве ответчиков в иске фигурируют Джошуа Огундипе (Joshua Ogundipe) и четверо неустановленных лиц («John Does»). Им предъявлены обвинения в поддержке киберпреступной деятельности посредством продажи, распространения, покупки и внедрения фишингового набора инструментов.
Борьба с подобными PhaaS-платформами ведется и другими технологическими гигантами. Согласно сообщению NBC News от 17 декабря 2025 года, компания Google инициировала судебное разбирательство против операторов сервиса Darcula. Ключевым ответчиком по этому делу выступает гражданин Китая Ючэн Чанг (Yucheng Chang), являющийся предполагаемым лидером группы. Вместе с ним обвиняются еще 24 участника. Группировка специализировалась на волне смс-фишинга (смишинга), в рамках которой они выдавали себя за правительственные структуры США. Целью иска является получение судебного ордера на захват серверной инфраструктуры преступников.
Примерно за месяц до отчета от 17 декабря 2025 года Google подала аналогичный иск против хакеров из Китая, связанных с PhaaS-сервисом Lighthouse. Масштаб деятельности этой группировки оказался еще более значительным: от их действий пострадало более 1 миллиона пользователей в 120 странах. Эти скоординированные действия корпораций и правоохранительных органов демонстрируют системный подход к ликвидации глобальных экосистем киберпреступности.
