Selon Volexity (blog Threat Intelligence, 4 décembre 2025), le groupe russe UTA0355 mène de nouvelles campagnes ciblées abusant des flux d’authentification OAuth et Device Code pour phisher des utilisateurs et accéder à leurs comptes, en usurpant des événements de sécurité internationaux en Europe.

— Campagne « Belgrade Security Conference » (BSC) 🎣

  • Utilisation de courriels dans un fil légitime et de conversations WhatsApp avec construction de confiance, puis envoi d’un lien menant à un flux OAuth Microsoft. L’utilisateur était incité à transmettre l’URL contenant le code/token pour « finaliser l’inscription ».
  • Après compromission, accès étendu aux fichiers Microsoft 365; persistance via enregistrement d’un nouvel appareil dans Microsoft Entra ID avec le même nom qu’un appareil existant; user-agent Android « Dalvik/2.1.0…; Xiaomi » alors que l’accès prétendait venir d’un iPhone.

— Extension des opérations (site bsc2025[.]org) 🌐

  • Création d’un faux site de conférence redirigeant les cibles vers un phishing Microsoft 365; tri des victimes par domaine d’e‑mail avec un cookie « cookie_reg ».
  • Usage du Microsoft Authentication Broker (pattern observé dans le projet « DeviceCodePhishing ») et activité ultérieure via nœuds proxy résidentiels (ex. IP Comcast), suggérant anonymisation.

— Campagne « Brussels Indo-Pacific Dialogue » (BIPD) 📨

  • Courriels usurpant la CSDS (VUB), ciblant des profils politique/Europe/ex-responsables US; URL unique demandant, en cas d’erreur, de copier l’URL complète (cohérent avec le phishing de code OAuth).
  • Domaines d’infrastructure: ustrs[.]com (ancien domaine remis en service, mis à jour 2025‑10‑31 pour contourner l’heuristique d’âge), puis faux site brussels-indo-pacific-forum[.]org lançant un flux de phishing Device Code.

— Expansion de la cible et infrastructure additionnelle 🧭

  • Demande systématique de « collègues intéressés » pour élargir la liste des victimes; certains répondants ont fourni des contacts ou réalisé des introductions.
  • En recoupant le WHOIS de bsc2025[.]org (enregistré via un compte mailum[.]com), Volexity relie des domaines usurpant la World Nuclear Exhibition (nov. 2025): world-nuclear-exhibition-paris[.]com, wne-2025[.]com, confirmyourflight-parisaeroport[.]com (usage non confirmé).

— IOCs et TTPs observés 🔎

  • IOCs (sélection):
    • Domaines: bsc2025[.]org; brussels-indo-pacific-forum[.]org; ustrs[.]com; world-nuclear-exhibition-paris[.]com; wne-2025[.]com; confirmyourflight-parisaeroport[.]com
    • Cookie: cookie_reg (Base64 de l’e‑mail)
    • User-agent: Dalvik/2.1.0 (Linux; U; Android 14; 2211133C Build/UKQ1.230705.002); Xiaomi
    • Outils/services: Microsoft Authentication Broker; comptes WhatsApp/Signal; proxy résidentiel (Comcast)
  • TTPs:
    • Rapport-building phishing (échanges bénins avant l’envoi du lien)
    • Usurpation d’événements et sites factices professionnels
    • Phishing OAuth/Device Code en demandant à l’utilisateur de renvoyer l’URL/le code
    • Envoi depuis comptes compromis pour crédibiliser la campagne
    • Persistance via Entra ID en enregistrant un nouvel appareil clonant le nom d’un appareil existant
    • Tri des cibles selon le domaine et détournement d’anciens domaines pour tromper la réputation
    • Utilisation de messageries (WhatsApp/Signal) et proxies résidentiels pour l’accès post-compromission

Il s’agit d’une analyse de menace publiée par Volexity mettant en lumière l’adoption accrue des workflows OAuth/Device Code par UTA0355 et les méthodes d’ingénierie sociale sophistiquées associées.

🧠 TTPs et IOCs détectés

TTP

[‘Rapport-building phishing (échanges bénins avant l’envoi du lien)’, ‘Usurpation d’événements et sites factices professionnels’, ‘Phishing OAuth/Device Code en demandant à l’utilisateur de renvoyer l’URL/le code’, ‘Envoi depuis comptes compromis pour crédibiliser la campagne’, ‘Persistance via Entra ID en enregistrant un nouvel appareil clonant le nom d’un appareil existant’, ‘Tri des cibles selon le domaine et détournement d’anciens domaines pour tromper la réputation’, ‘Utilisation de messageries (WhatsApp/Signal) et proxies résidentiels pour l’accès post-compromission’]

IOC

{‘domain’: [‘bsc2025.org’, ‘brussels-indo-pacific-forum.org’, ‘ustrs.com’, ‘world-nuclear-exhibition-paris.com’, ‘wne-2025.com’, ‘confirmyourflight-parisaeroport.com’], ‘cookie’: ‘cookie_reg (Base64 de l’e-mail)’, ‘user-agent’: ‘Dalvik/2.1.0 (Linux; U; Android 14; 2211133C Build/UKQ1.230705.002); Xiaomi’, ’tools_services’: [‘Microsoft Authentication Broker’, ‘comptes WhatsApp/Signal’, ‘proxy résidentiel (Comcast)’]}

🔗 Source originale : https://www.volexity.com/blog/2025/12/04/dangerous-invitations-russian-threat-actor-spoofs-european-security-events-in-targeted-phishing-attacks/