Selon Cato Networks, une campagne de phishing a abusé de l’infrastructure légitime de Simplified AI pour dérober des identifiants Microsoft 365, en combinant usurpation d’identité d’un cadre d’un distributeur pharmaceutique mondial et pièces jointes PDF protégées par mot de passe.

Le mode opératoire s’est déroulé en quatre étapes : (1) envoi d’un email d’« executive impersonation » contenant un PDF protégé, (2) inclusion dans le PDF d’un lien vers la plateforme Simplified AI avec un habillage de marque usurpé, (3) redirection via le domaine app.simplified.com afin de conserver une apparence de légitimité, (4) bascule finale vers un portail de connexion Microsoft 365 contrefait hébergé sur pub-6ea00088375b43ef869e692a8b2770d2.r2.dev.

Les attaquants ont profité du chiffrement des pièces jointes pour contourner les scanners de sécurité email et se sont appuyés sur la réputation de domaine d’une plateforme IA déjà autorisée en entreprise, réduisant l’efficacité du filtrage d’URL. L’objectif était le vol d’identifiants Microsoft 365 via ingénierie sociale et détournement d’infrastructures de confiance.

IOCs connus:

  • Domaine d’hébergement de la page de phishing: pub-6ea00088375b43ef869e692a8b2770d2.r2.dev
  • Redirection légitime utilisée: app.simplified.com (infrastructure de confiance abusée)

TTPs observés:

  • Usurpation d’identité d’un cadre d’un distributeur pharmaceutique mondial 👤
  • Pièces jointes PDF protégées par mot de passe pour contourner les scans ✉️🔐
  • Abus d’une plateforme IA légitime (Simplified AI) et de sa réputation de domaine
  • Chaîne de redirections via app.simplified.com vers une fausse page Microsoft 365
  • Hameçonnage ciblé visant la collecte d’identifiants

Type d’article : analyse de menace visant à documenter la campagne, sa chaîne d’attaque et les artefacts observés.

🧠 TTPs et IOCs détectés

TTPs

[“Usurpation d’identité d’un cadre”, ‘Pièces jointes PDF protégées par mot de passe’, “Abus d’une plateforme IA légitime et de sa réputation de domaine”, ‘Chaîne de redirections vers une fausse page Microsoft 365’, “Hameçonnage ciblé visant la collecte d’identifiants”]

IOCs

[‘pub-6ea00088375b43ef869e692a8b2770d2.r2.dev’, ‘app.simplified.com’]

🔗 Source originale : https://www.catonetworks.com/blog/cato-ctrl-threat-actors-abuse-simplified-ai-to-steal-microsoft-365-credentials/

🖴 Archive : https://web.archive.org/web/20250904090656/https://www.catonetworks.com/blog/cato-ctrl-threat-actors-abuse-simplified-ai-to-steal-microsoft-365-credentials/