🔍 Contexte
Rapport publié par Sekoia Threat Detection & Research (TDR) le 30 mars 2026, initialement distribué en privé le 25 mars 2026. L’analyse porte sur EvilTokens, un nouveau kit de Phishing-as-a-Service (PhaaS) découvert en mars 2026 via la surveillance de communautés cybercriminelles axées sur le phishing.
🎯 Description de la menace
EvilTokens est un kit PhaaS clé en main ciblant Microsoft 365 via la technique de device code phishing, exploitant le flux OAuth 2.0 Device Authorization Grant. Contrairement aux plateformes AitM classiques, EvilTokens incite les victimes à entrer un code utilisateur sur la page légitime de Microsoft, permettant à l’attaquant de récupérer des access tokens et refresh tokens valides.
Le kit est opéré via des bots Telegram et géré par l’opérateur eviltokensadmin. Les pages de phishing circulent depuis mi-février 2026.
⚙️ Fonctionnalités techniques
Le backend JavaScript d’EvilTokens expose les endpoints REST suivants :
POST /api/device/start: initiation du flux device code via l’API MicrosoftGET /api/device/status/:sessionId: polling du statut et capture des tokensPOST /api/prt/convert: conversion du refresh token en Primary Refresh Token (PRT)POST /api/prt/cookie: génération du cookiex-ms-RefreshTokenCredentialpour SSO sans MFAPOST /api/prt/recon: reconnaissance via Microsoft Graph API (/me, /organization, /users, /groups, etc.)POST /api/prt/azure: énumération des ressources Azure ManagementPOST /api/prt/owa-session: obtention de cookies de session OWA
Les pages de phishing utilisent un chiffrement AES-GCM via la Web Crypto API pour masquer leur contenu. Un header HTTP unique X-Antibot-Token (SHA256 de TOKEN_SECRET + timestamp + “antibot”) est utilisé comme mécanisme anti-bot.
🎭 Templates de phishing
Les templates impersonnent : Adobe Acrobat Sign/Viewer, DocuSign, notifications de quarantaine email, invitations calendrier, SharePoint, OneDrive, messagerie vocale, expiration de mot de passe, eFax.
📊 Victimologie et campagnes
- 66 pièces jointes de phishing collectées au 19 mars 2026 (PDF, HTML, XLSX, SVG, DOCX)
- Leurres principaux : documents financiers, invitations, logistique/supply chain, RH/paie, documents génériques
- Secteurs ciblés : finance, RH, transport/logistique, ventes
- Pays les plus touchés : États-Unis, Australie, Canada, France, Inde, Suisse, Émirats Arabes Unis
- Infrastructure : plus de 1 000 domaines hébergeant des pages EvilTokens
- Requêtes urlscan.io : ~500 résultats pour les domaines Cloudflare Workers, >1 000 pour les endpoints API
🔎 Indicateurs de tracking
Patterns de domaines Cloudflare Workers :
Header HTTP distinctif : X-Antibot-Token
📄 Type d’article
Analyse technique approfondie publiée par Sekoia TDR, visant à documenter le fonctionnement d’EvilTokens, fournir des règles YARA, des IOCs et des méthodes de tracking pour les équipes SOC et CTI.
🧠 TTPs et IOCs détectés
Acteurs de menace
- eviltokensadmin (cybercriminal)
TTP
- T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
- T1566.002 — Phishing: Spearphishing Link (Initial Access)
- T1528 — Steal Application Access Token (Credential Access)
- T1539 — Steal Web Session Cookie (Credential Access)
- T1550.001 — Use Alternate Authentication Material: Application Access Token (Defense Evasion)
- T1087.002 — Account Discovery: Domain Account (Discovery)
- T1069.002 — Permission Groups Discovery: Domain Groups (Discovery)
- T1114.002 — Email Collection: Remote Email Collection (Collection)
- T1530 — Data from Cloud Storage (Collection)
- T1534 — Internal Spearphishing (Lateral Movement)
- T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
- T1078.004 — Valid Accounts: Cloud Accounts (Defense Evasion)
IOC
- Domaines :
authdocspro.com - Domaines :
backdoor-hub.com - Domaines :
bumpgames.net - Domaines :
carbatterygurgaon.com - Domaines :
careldutoit-el.co.za - Domaines :
dao.com.au - Domaines :
docusend.networkssolutionmail.com - Domaines :
eqfit.co.za - Domaines :
eventcalender-schedule.com - Domaines :
evobothub.org - Domaines :
framebound.cloud - Domaines :
infinitechai.org - Domaines :
internalmemorecord.bxwancheng.com - Domaines :
macmamo.com - Domaines :
mirsanotolastik.com - Domaines :
mirzanyapi.com - Domaines :
newmobilepolojean.com - Domaines :
notificationsmanagersec.com - Domaines :
pelangiservice.com - Domaines :
prcservis.com - Domaines :
promanager.outboundciwidey.com - Domaines :
serenitygovsupplys.com - Domaines :
signaturerequired.thecoolcactus.com - Domaines :
smstltle.net - Domaines :
statushelper.aguasomos.com - Domaines :
suctwocesonesstory.com - Domaines :
thesafarigarden.com - Domaines :
topbuysella.com - Domaines :
totalhomesafe.com - Domaines :
update.youcreadio.cfd - Domaines :
well.atlantaperlnatal.com - Domaines :
xlkconsulting.co.za - Domaines :
yankeepine.co - Domaines :
youremplregroup.com - Domaines :
adobe-lar.denise-chxhistory-com-s-account.workers.dev - Domaines :
docusign-vs4.finance-zltnservices-org-s-account.workers.dev - Domaines :
onedrive-au8.hayixa9795-pazard-com-s-account.workers.dev - Domaines :
adobe-b6d.tuwilika-fcsnam-com-s-account.workers.dev - Domaines :
onedrive-23n.sbutler-stateservice-us-s-account.workers.dev - Domaines :
onedrive-ac4.ryker-samik-dropmeon-com-s-account.workers.dev - Domaines :
onedrive-33i.amittal-prodwaresol-com-s-account.workers.dev - Domaines :
docusign-d0e.admin-treyripple-com-s-account.workers.dev - Domaines :
adobe-t9r.thomas-gibson-clyde-enq-com-s-account.workers.dev - Domaines :
onedrive-7fp.davarius-thackery-dropmeon-com-s-account.workers.dev - Domaines :
adobe-h7l.gregcausey-hyundaicrenshaw-com-s-account.workers.dev - Domaines :
sharepoint-uo2.angela-warrconstructioninc-onmicrosoft-com-s-account.workers.dev - Domaines :
onedrive-hea.jhaas-hapnehartmedia-com-s-account.workers.dev - Domaines :
page-custommmvx6290-9kb.snpfs90-outlook-com-s-account.workers.dev - Domaines :
index-8ni.shirdav-mail-com-s-account.workers.dev - Domaines :
docusign-gmx.medea-locallovechs-com-s-account.workers.dev - Domaines :
index-izk.rifkit-protonmail-com-s-account.workers.dev - Domaines :
docusign-t0o.accountsreceivable-greens-au-com-s-account.workers.dev - Domaines :
adobe-7bf.signature-on-invoice-required-mail-com-s-account.workers.dev - Domaines :
page-voicemail-3i6.ucbqzm9-ucl-ac-uk-s-account.workers.dev - Domaines :
adobe-y73.letsgo-birdynyc-com-s-account.workers.dev - Domaines :
onedrive-dsk.cassandra-warholak-ifrma-org-s-account.workers.dev - Domaines :
docusign-u0p.kevin-domae-ca-s-account.workers.dev - Domaines :
docusign-a5c.export-cellular-iberia-com-s-account.workers.dev - Domaines :
docusign-14g.jhipolito-arrow-food-com-s-account.workers.dev - Domaines :
adobe-qi2.pm-pdgrealty-proton-me-s-account.workers.dev - Domaines :
adobe-8dt.ishaan-zvi-dropmeon-com-s-account.workers.dev - Domaines :
adobe-of6.hayixa9795-pazard-com-s-account.workers.dev - Domaines :
docusign-ffp.garciarodriguezt-student-wpunj-edu-s-account.workers.dev - Domaines :
docusign-y8l.accountant-fitfranchisebrands-com-s-account.workers.dev - Domaines :
adobe-mxg.snpfs90-outlook-com-s-account.workers.dev - Domaines :
index-ap3.tyler2miler-proton-me-s-account.workers.dev - Domaines :
adobe-yzz.ejkim-gsglobalusa-us-s-account.workers.dev - Domaines :
docusign-520.mike-maplecityglass-net-s-account.workers.dev - Domaines :
voicemail-l1b.thomas-gibson-clyde-enq-com-s-account.workers.dev - Domaines :
docusign-ac3.christina-parsons-charter-comm-com-s-account.workers.dev - Domaines :
docusign-o4x.bhc-credit-services-edl-bayreer-com-s-account.workers.dev - Domaines :
onedrive-4um.accounting-malitzconstructioninc-co-s-account.workers.dev - Fichiers :
Cash Flow & AP AR Review.pdf - Fichiers :
GV Advisors Deck-Investment & Funding docs.pdf - Fichiers :
SPEED International Logistics.pdf - Fichiers :
TR Purchase order no. 2627611142 - Fichiers :
Secured Share Point 3.pdf - Fichiers :
OPEN DOCUMENT NOW-22.pdf
Malware / Outils
- EvilTokens (other)
🔗 Source originale : https://blog.sekoia.io/new-widespread-eviltokens-kit-device-code-phishing-as-a-service-part-1/