Nijerya’da RaccoonO365 Phishing Geliştiricisinin Tutuklanması
Nijerya’nın siber güvenlik birimleri, büyük şirketlere yönelik phishing saldırılarında yer alan üç “yüksek profilli internet dolandırıcısı”nın tutuklandığını açıkladı. Bu kişilerin arasında, RaccoonO365 adı verilen phishing-as-a-service (PhaaS) scheme’in ana geliştiricisinin bulunduğu ifade ediliyor.
Soruşturma ve Tutuklamalar
Nijerya Polisi Ulusal Siber Suçlar Merkezi (NPF–NCCC), Microsoft ve Federal Bureau of Investigation (FBI) ile ortaklaşa yürütülen soruşturmaların sonucunda Okitipi Samuel, diğer adıyla Moses Felix’in, phishing altyapısının baş şüphelisi olduğunu tespit ettiğini bildirdi. Soruşturmalar, Samuel’in bir Telegram kanalı aracılığıyla phishing linkleri satıp, Cloudflare üzerinde sahte giriş sayfaları barındırdığını ortaya çıkardı. Bu işlemler, çalınmış veya dolandırıcılık yoluyla elde edilen e-posta kimlik bilgileri ile gerçekleştiriliyordu.
Yapılan arama operasyonlarında, bu kişilere ait dizüstü bilgisayarlar, mobil cihazlar ve diğer dijital ekipmanlar ele geçirildi. NPF, diğer iki tutuklanan kişinin PhaaS hizmetinin oluşturulması veya işletilmesi ile ilgili bir bağlantısının olmadığını da belirtti.
RaccoonO365 ve Etkileri
RaccoonO365, kötü niyetli aktörlerin Microsoft 365 giriş sayfalarını taklit eden phishing sayfaları oluşturarak kimlik bilgisi toplama saldırılarını gerçekleştirmelerini sağlayan PhaaS aracıdır. Microsoft, bu tehdit grubunu Storm-2246 takma adıyla takip ediyor. Eylül 2025’te teknoloji devi Microsoft, Cloudflare ile işbirliği yaparak RaccoonO365 tarafından kullanılan 338 alan adasını ele geçirdi.
Bu araçlar kullanılarak yapılan phishing saldırılarının, Temmuz 2024’ten bu yana 94 ülkeden en az 5,000 Microsoft kimlik bilgisinin çalınmasına neden olduğu tahmin ediliyor.
Kötü Amaçlı Faaliyetler ve Sonuçları
NPF, RaccoonO365’in sahte Microsoft giriş portalları kurarak, kullanıcı kimlik bilgilerini çaldığını ve bunları kurumsal, finansal ve eğitim kurumlarının e-posta platformlarına yasa dışı erişim sağlamak üzere kullandığını vurguladı. Soruşturmanın sonucunda, Ocak ve Eylül 2025 arasında gerçek Microsoft doğrulama sayfalarını taklit eden phishing mesajları ile gerçekleştirilen bir dizi yasadışı hesap erişimi tespit edildi. Bu faaliyetler, iş e-postası sahteciliğine, veri ihlallerine ve çeşitli yargı bölgelerinde finansal kayıplara yol açmıştır.
Microsoft’un Hukuki İddiaları
Microsoft ve Health-ISAC tarafından Eylül ayında açılan bir dava, Joshua Ogundipe ve diğer dört John Doe’yu, phishing kitini “satmak, dağıtmak, satın almak ve uygulamak” suretiyle siber suç işletmekle suçlamaktadır. Çalınan veriler, iş e-postası sahteciliği, finansal dolandırıcılık ve fidye yazılımı saldırıları gibi daha fazla siber suçu beslemek amacıyla kullanılmaktadır.
Son gelişmeler arasında, Google’ın Darcula PhaaS hizmetinin operatörlerine karşı dava açması ve başka bir PhaaS hizmeti olan Lighthouse ile bağlantılı Çinli hackerlarla ilgili durumu da içermektedir. Bu durum, siber güvenlik alanında mücadele eden kurumlar için ciddi bir dikkat çekmektedir.
Nijerya’daki bu yakalamalar, küresel siber suçlarla mücadelede önemli bir dönüm noktası olarak görülmektedir ve benzer saldırılara yönelik önlemler alınmasını teşvik edecektir.
