Ảnh minh họa. Techpoint Africa

Cảnh sát Nigeria phối hợp điều tra cùng Microsoft và FBI

Theo Trung tâm Phòng chống tội phạm mạng quốc gia thuộc Lực lượng Cảnh sát Nigeria (NPF-NCCC), cuộc điều tra được tiến hành với sự phối hợp của Microsoft và Cục Điều tra Liên bang Mỹ (FBI) đã xác định Okitipi Samuel, còn được biết đến với bí danh Moses Felix, là nghi phạm chủ chốt, chịu trách nhiệm phát triển và vận hành phần mềm lừa đảo RaccoonO365.

NPF cho biết đối tượng này điều hành một kênh Telegram để rao bán các đường link phishing, thanh toán bằng tiền mã hóa, đồng thời triển khai các cổng đăng nhập giả mạo Microsoft 365 trên nền tảng Cloudflare, sử dụng thông tin email bị đánh cắp hoặc thu thập trái phép.

Trong quá trình khám xét nơi ở của các nghi phạm tại bang Lagos và Edo, lực lượng chức năng đã thu giữ nhiều máy tính xách tay, điện thoại di động và thiết bị số phục vụ hoạt động phạm pháp. Hai đối tượng còn lại bị bắt không trực tiếp tham gia xây dựng hay vận hành dịch vụ PhaaS, theo xác nhận của cảnh sát Nigeria

RaccoonO365 được giới an ninh mạng đặt tên cho một nhóm tội phạm có động cơ tài chính, chuyên cung cấp bộ công cụ PhaaS cho phép kẻ xấu dễ dàng triển khai các chiến dịch đánh cắp thông tin đăng nhập thông qua các trang giả mạo giao diện đăng nhập Microsoft 365. Microsoft đang theo dõi nhóm này với định danh Storm-2246.

Trước đó, vào tháng 9/2025, Microsoft cho biết đã phối hợp với Cloudflare thu hồi 338 tên miền được sử dụng trong hạ tầng lừa đảo của RaccoonO365. Theo ước tính, từ tháng 7/2024 đến nay, bộ công cụ này đã góp phần làm lộ ít nhất 5.000 tài khoản Microsoft tại 94 quốc gia.

Từ phishing đến xâm nhập email doanh nghiệp

Cảnh sát Nigeria cho biết RaccoonO365 được sử dụng để thiết lập các cổng đăng nhập Microsoft giả, nhằm chiếm đoạt thông tin người dùng và từ đó truy cập trái phép vào hệ thống email của các doanh nghiệp, tổ chức tài chính và cơ sở giáo dục.

Cuộc điều tra chung đã phát hiện nhiều vụ truy cập trái phép vào tài khoản Microsoft 365 trong giai đoạn từ tháng 1 đến tháng 9/2025, bắt nguồn từ các email phishing được thiết kế tinh vi, gần như không khác trang xác thực chính thức của Microsoft. Những hoạt động này đã dẫn đến tấn công xâm nhập email doanh nghiệp (BEC), rò rỉ dữ liệu và gây thiệt hại tài chính tại nhiều quốc gia.

Song song với các biện pháp hình sự, tháng 9/2025, Microsoft cùng tổ chức Health-ISAC cũng đã đệ đơn kiện dân sự, cáo buộc Joshua Ogundipe và bốn đối tượng chưa xác định danh tính khác đã “bán, phân phối, mua và triển khai” bộ công cụ phishing để phục vụ các chiến dịch spear-phishing tinh vi, nhằm đánh cắp dữ liệu nhạy cảm.

Theo đơn kiện, dữ liệu bị đánh cắp tiếp tục được sử dụng cho nhiều hoạt động phạm pháp khác như lừa đảo tài chính, tấn công email doanh nghiệp (BEC), phát tán ransomware và xâm phạm quyền sở hữu trí tuệ. Microsoft xác định Ogundipe là kẻ cầm đầu mạng lưới này, song hiện chưa rõ tung tích. Đại diện Microsoft cho biết các cuộc điều tra vẫn đang được tiếp tục.

Cuộc chiến pháp lý toàn cầu với tội phạm mạng “dịch vụ hóa”

Động thái của Nigeria diễn ra trong bối cảnh các tập đoàn công nghệ lớn gia tăng sử dụng biện pháp pháp lý để đối phó với mô hình tội phạm mạng “dịch vụ hóa”.

Gần đây, Google cũng đã khởi kiện các đối tượng vận hành dịch vụ PhaaS mang tên Darcula, cáo buộc nhóm này đứng sau làn sóng lừa đảo tin nhắn (smishing) giả mạo cơ quan chính phủ Mỹ.

Theo điều tra của Đài Truyền hình Quốc gia Na Uy (NRK) và công ty an ninh mạng Mnemonic, nhóm Darcula bị nghi đã đánh cắp gần 900.000 số thẻ tín dụng, trong đó có khoảng 40.000 thẻ của công dân Mỹ. Bộ công cụ phishing bằng tiếng Trung này xuất hiện từ tháng 7/2023.

Vụ kiện Darcula được NBC News đưa tin ngày 17/12/2025, chỉ hơn một tháng sau khi Google tiếp tục đệ đơn kiện một dịch vụ PhaaS khác có tên Lighthouse, được cho là đã ảnh hưởng tới hơn 1 triệu người dùng tại 120 quốc gia.

An Lâm (Theo The hacker News)