Selon CYFIRMA (publication du 16 janvier 2026), Mamba 2FA s’inscrit dans une classe de kits de phishing adversary‑in‑the‑middle (AiTM) devenue dominante dans les environnements cloud. L’outil privilégie réalisme, automatisation et échelle, en émulant fidèlement les flux d’authentification Microsoft 365, en gérant les sessions en temps quasi réel et en réduisant l’interaction utilisateur, afin de bypasser la MFA et d’industrialiser les campagnes au sein de l’écosystème PhaaS.

Flux opérationnel observé et livraison:

  • URL initiale encodée: accès via /s/?<paramètre base64>, masquant paramètres et contexte d’exécution.
  • Contexte d’identité pré-rempli: page affichant un état “Authenticating” sans champ email, l’identité étant transmise par l’URL encodée ou préparée côté serveur.
  • Prompt mot de passe style Microsoft avec branding organisationnel: seul le champ mot de passe est affiché, renforçant la crédibilité.
  • Capture côté client: JavaScript prépare et transmet immédiatement les identifiants.
  • Redirection vers une destination légitime après soumission, limitant la suspicion tout en poursuivant l’activité côté backend.
  • Livraison: emails usurpant des alertes Microsoft, notifications de documents ou d’activité; liens intégrant des paramètres encodés, URLs à courte durée de vie, chaînes de redirections et artefacts HTML pour préserver la mise en forme.

Paysage et tendances: CYFIRMA observe une standardisation des capacités AiTM au sein des offres PhaaS depuis 2023–2025, avec convergence des workflows, itérations incrémentales (parité de fonctionnalités, améliorations d’évasion, flexibilité d’infrastructure) et adoption pérenne par des acteurs recherchant des outils d’accès initial fiable plutôt que des développements sur mesure. Les kits comme Mamba 2FA devraient intégrer des fonctions déjà vues chez leurs pairs: filtrage de trafic avancé, évasion sandbox/automatisation, élargissement des cibles d’IdP et leurres post‑authentification — consolidant le risque persistant pour les identités cloud.

Recommandations et mitigations (extraites de l’article):

  • IAM: MFA résistante au phishing (FIDO2/WebAuthn, tokens matériels), accès conditionnel (confiance device, géolocalisation, anomalies de session), surveillance des schémas de connexion suspects.
  • Email sécurité: filtrage avancé avec analyse d’URL, sandboxing des pièces jointes, réécriture/détonation d’URL, blocklists tenues à jour (en gardant à l’esprit la rotation d’infra).
  • Endpoint/réseau: supervision temps réel des connexions sortantes vers endpoints HTTPS inconnus ou WebSockets, isolation de navigateur pour applis à risque, EDR capable de détecter des requêtes web anormales hors navigateurs standard.
  • Sensibilisation & TI: formation aux techniques AiTM (pages très réalistes, états pré-remplis), exercices de phishing simulé, abonnements TI ciblant kits/phishing AiTM, cartographie ATT&CK et mises à jour régulières des contrôles.

TTPs (MITRE ATT&CK) et IOCs:

  • Initial Access: T1566.002 — Phishing: Link; T1566.001 — Phishing: Spear phishing Attachment
  • Credential Access / Collection: T1056.003 — Credential Input Capture: Web Portal; T1110.004 — Credential Brute Force: Credential Stuffing; T1528 — Steal Application Access Token; T1056 — Input Capture; T1119 — Automated Collection
  • Defense Evasion: T1027 — Obfuscated Files or Information; T1127 — Trusted Developer Utilities Proxy Execution
  • Command and Control: T1105 — Ingress Tool Transfer; T1071.001 — Application Layer Protocol: Web Protocols; T1132 — Data Encoding
  • Impact: T1499.004 — Endpoint Denial of Service: Application or System Exploitation
  • IOCs: non communiqués dans l’article.

Il s’agit d’une analyse de menace visant à documenter le fonctionnement de Mamba 2FA, son écosystème PhaaS, ses TTPs et les mesures de défense recommandées.

🧠 TTPs et IOCs détectés

TTP

T1566.002, T1566.001, T1056.003, T1110.004, T1528, T1056, T1119, T1027, T1127, T1105, T1071.001, T1132, T1499.004

IOC

Non communiqués dans l’article

🔗 Source originale : https://www.cyfirma.com/research/mamba-phishing-as-a-service-kit-how-modern-adversary-in-the-middle-aitm-attacks-operate/