Source: Proofpoint Threat Research (18 décembre 2025). Dans ce billet de recherche, Proofpoint détaille l’adoption à grande échelle du phishing exploitant le flux d’autorisation OAuth 2.0 par code appareil pour compromettre des comptes Microsoft 365, par des acteurs financiers et étatiques.

• Panorama: Des campagnes multiples, parfois amorcées par e‑mail ou QR code, redirigent l’utilisateur vers un processus Microsoft légitime (microsoft.com/devicelogin). La victime saisit un code présenté comme un OTP alors qu’il s’agit d’un code appareil lié à une application malveillante; une fois validé, le jeton confère à l’attaquant l’accès au compte M365. Cette technique, observée sporadiquement auparavant, devient « à grande échelle » dès septembre 2025. Les impacts incluent prise de contrôle de compte, exfiltration de données, mouvement latéral et persistance.

• Outils mis en cause:

  • SquarePhish2 🚀: cible le flux OAuth Device Grant, souvent via QR codes; redirection vers la page d’authentification Microsoft; envoie un e‑mail depuis un tenant Microsoft avec le code appareil; automatisations qui réduisent la contrainte de durée de vie des codes; accessible à des acteurs peu techniques.
  • Graphish: kit partagé gratuitement sur forums criminels (membres filtrés); supporte reverse proxy/AiTM pour détourner sessions et MFA; exploite Azure App Registrations (client ID) pour déclencher des consentements OAuth; conseils pour vérifier l’app dans Azure afin d’augmenter le taux de réussite en entreprise.

• Campagnes notables:

  • « Salary Bonus + Employer Benefits Reports 25 » (8 déc.): lien Google Share menant à un site d’attaquant, code présenté comme MFA; saisie du code sur la page Microsoft confère l’accès à l’attaquant.
  • TA2723 (financier, oct. 2025): e‑mails de partage de document (ex. virtoshare.com); génération d’OTP puis redirection vers la page Device Code Microsoft; Proofpoint soupçonne SquarePhish2 (6‑8 oct.) puis Graphish (9‑10 oct.) au vu des TTPs et du calendrier.
  • Acteurs étatiques: usage accru par des groupes alignés Russie (également activités suspectées Chine). Approches patientes avec création de relation préalable et multicanal.
  • UNK_AcademicFlare (suspecté Russie, depuis sept. 2025): e‑mails compromis de gouvernements/militaires pour cibler gouvernements, think tanks, universités, transport aux États‑Unis et en Europe; lien Cloudflare Workers (onedrive.gov-zm.workers.dev) menant au flux de code appareil; leurres thématiques Russie/Ukraine.

• Recommandations (selon Proofpoint):

  • Bloquer le device code flow via Conditional Access (Authentication Flows), ou basculer en liste d’autorisation (utilisateurs/OS/IP approuvés).
  • Exiger des appareils conformes/enrôlés (Intune/inscription) pour les connexions.
  • Sensibiliser les utilisateurs: ne pas saisir de codes appareil reçus de sources non fiables, même sur un portail Microsoft légitime.

• TTPs clés: Ingénierie sociale, abus du flux OAuth 2.0 Device Authorization, QR codes, AiTM/reverse proxy, enregistrement d’applications Azure (client ID), vérification d’app malveillante, usurpation de marques (OneDrive, DocuSign, LinkedIn), construction de relation/benign outreach, multi‑canal, utilisation de domaines cloud (Azure, Cloudflare Workers, S3).

• IOCs (sélection fournie par Proofpoint):

  • URLs/Redirecteurs: hxxps://sharefile.progressivesharepoint.top/ ; hxxps://progressiveweba.z13.web.core.windows.net ; hxxps://blackrockfundmgt.z13.web.core.windows.net ; hxxps://portal.msprogresssharefile.cloud/ ; hxxps://sharingfilesystems.z13.web.core.windows.net ; hxxps://myapplicationinterfaces.s3.eu-north-1.amazonaws.com/index.html ; hxxps://corphostedfileservices.s3.eu-north-1.amazonaws.com/auth.html ; hxxps://clientlogin.blitzcapital.net/ ; hxxps://onedrive[.]gov-zm[.]workers[.]dev
  • Pages code/OTP: hxxps://onlinedocuments-[OrganizationName].vxhwuulcnfzlfmh.live/application/[…]; hxxps://onlinedocuments-[OrganisationName].vxhwuulcnfzlfmh.live/token/request?id=[…]; hxxps://onlinedocuments-[OrganisationName].xgjtvyptrjlsosv.live/application/[…] ; hxxps://onlinedocuments-[OrganisationName].xgjtvyptrjlsosv.live/token/request?id=[…] ; hxxps://login.microsoftonline.com/common/oauth2/deviceauth [Abused]
  • Domaines expéditeurs: vaultally.com ; docifytoday.com ; filetix.com ; nebulafiles.com ; novodocument.com ; spacesdocs.com ; acxioswan.com ; acxishare.com ; collabodex.com ; infoldium.com ; renewauth.com ; myfilepass.com ; confidentfiles.com ; magnavite.com ; bluecubecapital.com ; allspringglobalinvestmentsllc.onmicrosoft.com ; aresmanagementllc.onmicrosoft.com ; citadeladvisorsllc.onmicrosoft.com ; cpuhp.onmicrosoft.com ; millenniummanagementllc.onmicrosoft.com
  • E‑mails expéditeurs: robert.pena@FirstTrustAdvisorsLP.onmicrosoft.com ; no-reply.doc333@ksmus.virtoshare.com
  • IP: 196.251.80.184
  • Autres: 97d7e46b-1bff-4f24-b262-8b0b3914d88a.us5.azurecomm.net (message code appareil)

Conclusion: Il s’agit d’une analyse de menace documentant l’adoption rapide du phishing par code appareil OAuth contre Microsoft 365, décrivant outils/campagnes, TTPs, IOCs et recommandations associées.

🧠 TTPs et IOCs détectés

TTP

Ingénierie sociale, abus du flux OAuth 2.0 Device Authorization, QR codes, AiTM/reverse proxy, enregistrement d’applications Azure (client ID), vérification d’app malveillante, usurpation de marques (OneDrive, DocuSign, LinkedIn), construction de relation/benign outreach, multi-canal, utilisation de domaines cloud (Azure, Cloudflare Workers, S3)

IOC

{‘urls’: [‘hxxps://sharefile.progressivesharepoint.top/’, ‘hxxps://progressiveweba.z13.web.core.windows.net’, ‘hxxps://blackrockfundmgt.z13.web.core.windows.net’, ‘hxxps://portal.msprogresssharefile.cloud/’, ‘hxxps://sharingfilesystems.z13.web.core.windows.net’, ‘hxxps://myapplicationinterfaces.s3.eu-north-1.amazonaws.com/index.html’, ‘hxxps://corphostedfileservices.s3.eu-north-1.amazonaws.com/auth.html’, ‘hxxps://clientlogin.blitzcapital.net/’, ‘hxxps://onedrive[.]gov-zm[.]workers[.]dev’, ‘hxxps://onlinedocuments-[OrganizationName].vxhwuulcnfzlfmh.live/application/[…]’, ‘hxxps://onlinedocuments-[OrganisationName].vxhwuulcnfzlfmh.live/token/request?id=[…]’, ‘hxxps://onlinedocuments-[OrganisationName].xgjtvyptrjlsosv.live/application/[…]’, ‘hxxps://onlinedocuments-[OrganisationName].xgjtvyptrjlsosv.live/token/request?id=[…]’, ‘hxxps://login.microsoftonline.com/common/oauth2/deviceauth’], ‘domains’: [‘vaultally.com’, ‘docifytoday.com’, ‘filetix.com’, ’nebulafiles.com’, ’novodocument.com’, ‘spacesdocs.com’, ‘acxioswan.com’, ‘acxishare.com’, ‘collabodex.com’, ‘infoldium.com’, ‘renewauth.com’, ‘myfilepass.com’, ‘confidentfiles.com’, ‘magnavite.com’, ‘bluecubecapital.com’, ‘allspringglobalinvestmentsllc.onmicrosoft.com’, ‘aresmanagementllc.onmicrosoft.com’, ‘citadeladvisorsllc.onmicrosoft.com’, ‘cpuhp.onmicrosoft.com’, ‘millenniummanagementllc.onmicrosoft.com’], ’emails’: [‘robert.pena@FirstTrustAdvisorsLP.onmicrosoft.com’, ’no-reply.doc333@ksmus.virtoshare.com’], ‘ip’: [‘196.251.80.184’], ‘other’: [‘97d7e46b-1bff-4f24-b262-8b0b3914d88a.us5.azurecomm.net’]}

🔗 Source originale : https://www.proofpoint.com/us/blog/threat-insight/access-granted-phishing-device-code-authorization-account-takeover