Otoritas Nigeria mengumumkan keberhasilan mereka dalam menangkap tiga tersangka penipuan internet kelas atas yang diduga terlibat dalam serangkaian serangan phishing terhadap perusahaan-perusahaan besar di berbagai negara. Salah satu tersangka utama disebut sebagai pengembang inti di balik RaccoonO365, sebuah skema phishing-as-a-service (PhaaS) yang telah lama menjadi perhatian komunitas keamanan siber global.
Penangkapan ini diumumkan oleh Nigeria Police Force National Cybercrime Centre (NPF–NCCC), yang menyebutkan bahwa proses investigasi dilakukan melalui kerja sama erat dengan Microsoft dan Federal Bureau of Investigation (FBI). Dari hasil penyelidikan tersebut, aparat mengidentifikasi Okitipi Samuel, yang juga dikenal dengan nama Moses Felix, sebagai aktor utama sekaligus pengembang infrastruktur phishing yang digunakan dalam operasi ini.
Menurut pernyataan resmi kepolisian Nigeria, tersangka mengelola sebuah kanal Telegram yang digunakan untuk menjual tautan phishing kepada pelaku kejahatan siber lain dengan imbalan mata uang kripto. Selain itu, ia juga diketahui meng-host portal login palsu yang meniru halaman autentikasi Microsoft 365 menggunakan layanan Cloudflare, dengan memanfaatkan kredensial email yang dicuri atau diperoleh secara ilegal.
Dalam rangkaian penggeledahan yang dilakukan di kediaman para tersangka, aparat menyita sejumlah barang bukti digital, termasuk laptop, perangkat seluler, dan peralatan elektronik lain yang diduga kuat digunakan dalam aktivitas kejahatan tersebut. Dua individu lain yang turut ditangkap disebut tidak memiliki keterlibatan langsung dalam pengembangan maupun pengoperasian layanan PhaaS RaccoonO365, meskipun tetap diamankan dalam proses penyelidikan.
RaccoonO365 sendiri merupakan nama yang diberikan pada kelompok ancaman bermotif finansial yang mengembangkan toolkit phishing untuk mencuri kredensial. Toolkit ini memungkinkan pelaku kejahatan membuat halaman phishing yang menyerupai tampilan login Microsoft 365, sehingga korban tidak menyadari bahwa mereka sedang menyerahkan informasi sensitif. Microsoft melacak aktivitas kelompok ini dengan kode Storm-2246.
Pada September 2025, Microsoft mengungkapkan bahwa mereka bekerja sama dengan Cloudflare untuk mengambil alih 338 domain yang digunakan oleh infrastruktur RaccoonO365. Infrastruktur phishing ini diperkirakan telah menyebabkan pencurian setidaknya 5.000 kredensial Microsoft dari 94 negara sejak Juli 2024, menunjukkan skala operasi yang sangat luas dan terorganisir.
NPF juga menjelaskan bahwa RaccoonO365 digunakan untuk membangun portal login Microsoft palsu yang secara khusus menargetkan institusi korporasi, keuangan, dan pendidikan. Kredensial yang berhasil dicuri kemudian dimanfaatkan untuk mendapatkan akses ilegal ke akun email Microsoft 365 milik organisasi-organisasi tersebut. Investigasi gabungan menemukan banyak insiden akses tidak sah sepanjang Januari hingga September 2025, yang berawal dari pesan phishing dengan tampilan autentikasi Microsoft yang dibuat semirip mungkin dengan halaman asli.
Serangan-serangan ini berdampak serius, mulai dari business email compromise, kebocoran data, hingga kerugian finansial lintas negara. Kepolisian Nigeria menegaskan bahwa aktivitas tersebut telah merugikan banyak organisasi di berbagai yurisdiksi dan memperkuat urgensi kolaborasi internasional dalam penanganan kejahatan siber.
Di sisi lain, Microsoft dan Health-ISAC juga telah mengajukan gugatan perdata pada September terhadap Joshua Ogundipe dan empat pihak lain yang masih berstatus anonim. Gugatan tersebut menuduh para terdakwa mengoperasikan bisnis kejahatan siber dengan menjual, mendistribusikan, membeli, dan menerapkan toolkit phishing guna mendukung serangan spear-phishing tingkat lanjut dan pencurian data sensitif.
Data yang dicuri melalui operasi ini tidak berhenti pada satu kejahatan saja. Informasi tersebut digunakan kembali untuk mendukung kejahatan lanjutan, termasuk penipuan finansial, business email compromise, serangan ransomware, hingga pelanggaran hak kekayaan intelektual.
Perkembangan ini muncul di tengah meningkatnya tindakan hukum terhadap operator layanan PhaaS lainnya. Google baru-baru ini mengajukan gugatan terhadap pengelola Darcula PhaaS, dengan menyebut warga negara China, Yucheng Chang, sebagai pemimpin kelompok tersebut bersama 24 anggota lainnya. Google berupaya mendapatkan perintah pengadilan untuk menyita infrastruktur server yang digunakan dalam gelombang besar serangan smishing yang menyamar sebagai lembaga pemerintah Amerika Serikat.
Gugatan tersebut pertama kali dilaporkan oleh NBC News pada 17 Desember 2025, dan terjadi hanya sedikit lebih dari sebulan setelah Google juga menggugat kelompok peretas berbasis di China yang terkait dengan layanan PhaaS lain bernama Lighthouse. Layanan tersebut diyakini telah berdampak pada lebih dari satu juta pengguna di 120 negara.
Rangkaian penegakan hukum ini menegaskan bahwa phishing-as-a-service kini menjadi ancaman global yang ditangani secara serius oleh perusahaan teknologi dan aparat penegak hukum lintas negara. Kolaborasi internasional menjadi kunci utama dalam membongkar ekosistem kejahatan siber yang semakin terstruktur dan berorientasi bisnis.
