Siber Muhbir

Nijerya Polis Gücü Ulusal Siber Suç Merkezi (NPF–NCCC), Microsoft ve Federal Soruşturma Bürosu (FBI) iş birliği içinde yürütülen soruşturmaların, oltalama altyapısının ana şüphelisi ve geliştiricisi olarak Moses Felix olarak da bilinen Okitipi Samuel'in tespit edildiğini söyledi.

NPF, sosyal medyada paylaşılan bir gönderide, "Soruşturmalar, kripto para karşılığında oltalama bağlantılarının satıldığı bir Telegram kanalı işlettiğini ve çalıntı veya sahte olarak elde edilen e-posta bilgileriyle Cloudflare'de sahte giriş portalları barındırdığını ortaya koydu," dedi NPF.

Ayrıca, operasyona bağlı dizüstü bilgisayarlar, mobil cihazlar ve diğer dijital ekipmanlar evlerinde yapılan arama operasyonlarının ardından el konuldu. NPF'ye göre, tutuklanan diğer iki kişinin PhaaS servisinin kuruluşu veya işletilmesiyle hiçbir bağlantısı yok. Tutuklamalar, Lagos ve Edo eyaletlerindeki baskınların ardından gerçekleştirildi.

RaccoonO365, kötü niyetli kişilerin Microsoft 365 giriş sayfalarını taklit eden oltalama sayfalarını sunarak kimlik toplama saldırıları yapmasını sağlayan PhaaS araç setinin arkasındaki finansal motivasyonlu bir tehdit grubuna atanmış addır. Microsoft, tehdit aktörünü Storm-2246 takma adıyla takip ediyor.

Eylül 2025'te teknoloji devi, RaccoonO365 tarafından kullanılan 338 alan adını ele geçirmek için Cloudflare ile iş birliği yaptığını açıkladı. Araç setine atfedilen oltalama altyapısının, Temmuz 2024'ten bu yana 94 ülkeden en az 5.000 Microsoft kimlik hattının çalınmasına yol açtığı tahmin ediliyor.

NPF, RaccoonO365'in, kullanıcı kimlik bilgilerini çalmayı amaçlayan sahte Microsoft giriş portalları kurmak ve bunları kurumsal, finans ve eğitim kurumlarının e-posta platformlarına yasa dışı erişim sağlamak amacıyla kullanmak amacıyla kullanıldığını belirtti. Ortak soruşturma, Ocak ile Eylül 2025 arasında yasal Microsoft kimlik doğrulama sayfalarını taklit etmek için hazırlanmış oltalama mesajlarından kaynaklanan yetkisiz Microsoft 365 hesabına erişim olaylarını ortaya çıkardı.

NPF, bu faaliyetlerin iş e-postalarının tehlikelere, veri ihlallerine ve birden fazla yargı alanında finansal kayıplara yol açtığını ekledi.

Microsoft ve Health-ISAC tarafından Eylül ayında açılan bir medeni dava, sanıklar Joshua Ogundipe ve dört diğer John Do'yu sofistik, gelişmiş spear-phishing ve hassas bilgileri çekmek için oltalama kitini "satmak, dağıtmak, satın almak ve uygulamak" yoluyla siber suç operasyonu düzenlemekle suçlandı.

Dava, çalınan verilerin daha sonra iş e-posta tehlikesi, finansal dolandırıcılık ve fidye yazılımı saldırıları gibi daha fazla siber suçu körüklemek ve fikri mülkiyet ihlalleri yapmak için kullanıldığını iddia etti.

Davada ayrıca operasyonun arkasındaki beyin olarak Ogundipe de tespit edildi. Şu anki nerede olduğu belirsizdir. Yorum için ulaşıldığında, Microsoft sözcüsü The Hacker News'e soruşturmaların devam ettiğini söyledi.

Bu gelişme, Google'ın Darcula PhaaS servisinin işletmecilerine karşı dava açması sırasında, Çinli vatandaş Yucheng Chang'ı grubun lideri olarak 24 diğer üyeyle birlikte atması sırasıyla gerçekleşti. Şirket, ABD hükümet kurumlarını taklit eden büyük bir smishing dalgasının arkasında olan grubun sunucu altyapısına el konması için mahkeme kararı talep ediyor.

Norveç Yayın Kurumu (NRK) ve siber güvenlik şirketi Mnemonic'in yaptığı soruşturmaya göre, Darcula ve ortakları, bunların yaklaşık 40.000'i Amerikalılardan olmak üzere yaklaşık 900.000 kredi kartı numarası çaldığı tahmin ediliyor. Çince oltalama kiti ilk olarak Temmuz 2023'te ortaya çıktı.

Davanın haberi ilk olarak 17 Aralık 2025'te NBC News tarafından bildirildi. Bu gelişme, Google'ın 120 ülkede 1 milyondan fazla kullanıcıyı etkilediğine inanılan başka bir PhaaS hizmeti olan Lighthouse ile bağlantılı Çin merkezli hackerlara dava açmasından biraz fazla bir ay sonra gerçekleşti.