Die nigerianische Polizei hat drei Personen festgenommen, die im Verdacht stehen, hinter der Phishing-as-a-Service-Plattform Raccoon0365 zu stehen. Der kommerzielle Dienst wurde weltweit genutzt, um zielgerichtete Phishing-Kampagnen gegen Microsoft-365-Konten durchzufuehren. Die Ermittlungen basieren auf technischen Beweisen von Microsoft, die ueber das FBI an das nigerianische National Cybercrime Centre (NPF-NCCC) weitergeleitet wurden.
Koordinierte Festnahmen in Nigeria und identifizierte Hintermaenner
Laut NPF-NCCC fanden die Zugriffsmassnahmen in den Bundesstaaten Lagos und Edo statt. Bei Durchsuchungen wurden Laptops, Smartphones und weiteres digitales Equipment sichergestellt. Forensische Analysen verknuepften diese Geraete direkt mit der Infrastruktur und den Phishing-Kampagnen von Raccoon0365, unter anderem ueber eindeutig zuordenbare Logdaten und Konfigurationsdateien.
Im Mittelpunkt steht Okitipi Samuel, der online unter den Aliasen Raccoon0365 und Moses Felix auftrat. Die Ermittler sehen ihn als Hauptentwickler der Plattform und Administrator eines privaten Telegram-Kanals, ueber den die Phishing-Kits verteilt wurden. Dieser Kanal verzeichnete zum Zeitpunkt der Abschaltung ueber 800 Mitglieder, was auf eine gut etablierte Kundenbasis hinweist.
Die Rolle der beiden weiteren Festgenommenen wird noch geklaert; ihnen wird bislang kein unmittelbarer Einfluss auf Entwicklung oder Betrieb des Dienstes nachgewiesen. Auffaellig ist, dass die Polizei in ihrer Mitteilung den von Microsoft zuvor genannten mutmasslichen Drahtzieher Joshua Ogundipe nicht explizit erwaehnt – ein Hinweis darauf, dass die Ermittlungen international weiterlaufen duerften.
Wie Raccoon0365 als Phishing-as-a-Service funktionierte
Raccoon0365 war ein typischer Phishing-as-a-Service (PhaaS)-Dienst: Cyberkriminelle mussten keine eigene Infrastruktur aufbauen, sondern konnten fertige Werkzeuge mieten. Die Plattform stellte Templates fuer Phishing-E-Mails, gefaelschte Login-Seiten sowie Funktionen zur automatisierten Kampagnensteuerung bereit – speziell ausgerichtet auf Microsoft 365.
Die Kunden erhielten vorgefertigte E-Mails mit Links oder QR-Codes, die auf perfekt nachgebaute Anmeldeseiten von Microsoft 365 fuehrten. Nach Eingabe der Zugangsdaten wurden Passwoerter und Session-Cookies in Echtzeit an die Angreifer uebermittelt. Durch die Uebernahme bestehender Sitzungen konnten selbst grundlegende Formen von Multi-Faktor-Authentifizierung (MFA) umgangen werden.
Angriffsziele, Monetarisierung und globale Reichweite
Die kompromittierten Konten ermoeglichten Zugriff auf Exchange-Postfaecher, OneDrive und SharePoint. Diese Zugriffe wurden vor allem fuer drei Szenarien genutzt: Business Email Compromise (BEC) durch Manipulation von Rechnungen und Zahlungsanweisungen, Drohungen und Erpressung anhand sensibler Dokumente sowie weitere Angriffe innerhalb der Unternehmensinfrastruktur, etwa durch das Nachladen von Malware und seitliche Bewegungen im Netzwerk.
Die Phishing-Kits wurden ueber ein Abomodell im privaten Telegram-Kanal vertrieben. Die Preise lagen bei rund 355 US‑Dollar pro Monat beziehungsweise 999 US‑Dollar fuer drei Monate, bezahlt in Kryptowaehrungen wie USDT und Bitcoin. Microsoft schaetzt, dass die Gruppe mindestens 100.000 US‑Dollar erwirtschaftet hat – ein klares Indiz fuer zahlreiche gebuchte Abos und breite Nutzung des Dienstes.
Rolle von Microsoft und Cloudflare bei der Zerschlagung der Infrastruktur
Im September 2025 fuehrte die Digital Crimes Unit (DCU) von Microsoft gemeinsam mit den Teams Cloudforce One und Trust and Safety von Cloudflare eine koordinierte Takedown-Operation durch. Dabei wurden 338 Domains und Cloudflare-Worker-Accounts deaktiviert, die fuer das Hosting der Phishing-Seiten sowie zur Umgehung von Sicherheitskontrollen dienten.
Cloudflare-Dienste wurden von den Betreibern gezielt fuer Anti-Analyse-Mechanismen genutzt: Traffic-Tunneling, Captcha-Mechanismen und das schnelle Ausrollen neuer Domains erschwerten die Erkennung durch klassische URL-Filter und Security-Gateways. Entscheidend fuer die Identifizierung der Akteure war laut Microsoft eine OpSec-Panne: Die Angreifer verknuepften versehentlich einen vertraulichen Krypto-Wallet mit anderen, bereits beobachteten Konten. Ueber diese Transaktionsspuren liessen sich Infrastruktur und Identitaeten zusammenfuehren und an die Ermittler uebergeben.
Was der Fall Raccoon0365 fuer die Sicherheit von Microsoft-365-Umgebungen bedeutet
Der Fall unterstreicht, wie sehr PhaaS-Plattformen den Einstieg in die Cyberkriminalitaet erleichtern. Statt komplexer Technik muessen Kriminelle nur noch Ziele auswaehlen und gestohlene Daten monetarisieren. Branchenberichte wie der Verizon Data Breach Investigations Report zeigen seit Jahren, dass Phishing zu den haeufigsten Einstiegsvektoren in Unternehmensnetzwerke gehoert – PhaaS-Angebote verstaerken diesen Trend zusaetzlich.
Konkrete Schutzmassnahmen fuer Unternehmen
Organisationen, die Microsoft 365 nutzen, sollten auf einen mehrschichtigen Ansatz setzen. Dazu gehoeren starke Authentifizierungsverfahren mit durchgaengig aktivierter MFA und moeglichst phishing-resistenten Methoden wie FIDO2-Sicherheitsschluesseln. Einfache Einmalcodes per SMS oder E-Mail sollten, wo moeglich, reduziert werden, da sie vergleichsweise leicht abgefangen oder umgangen werden koennen.
Ebenfalls zentral ist eine aktuelle E-Mail-Sicherheitsarchitektur mit URL-Scanning, Anhangs-Analyse und Sandboxing, etwa durch Secure-Email-Gateways oder Microsoft Defender for Office 365. Unternehmen sollten zusaetzlich ein kontinuierliches Security-Awareness-Training etablieren, das realistische Phishing-Simulationen umfasst – inklusive Szenarien mit QR-Codes und vermeintlich vertrauten Marken.
Ergaenzt werden sollte dies durch ein engmaschiges Account-Monitoring: Alarmierungen bei Logins aus ungewoehnlichen Regionen, Massen-Downloads aus OneDrive oder der Installation neuer OAuth-Apps helfen, kompromittierte Konten fruehzeitig zu erkennen und einzudämmen.
Der erfolgreiche Schlag gegen Raccoon0365 zeigt, dass selbst professionell betriebene Phishing-as-a-Service-Angebote durch die Zusammenarbeit von Technologieanbietern und Strafverfolgungsbehoerden verwundbar sind. Dennoch bleibt Phishing einer der effizientesten Angriffswege. Unternehmen und Einzelpersonen sollten dies zum Anlass nehmen, ihre Sicherheitsstrategien zu ueberpruefen, Cloud-Dienste gezielt abzusichern und in regelmaessige Schulungen zu investieren, um moderne Phishing-Methoden fruehzeitig zu erkennen und zu melden.
