Montée en puissance du device code phishing en 2026 : analyse des kits et campagnes

🗓️ Contexte

Article publié le 4 avril 2026 par Luke Jennings sur le blog de Push Security. Il s’agit d’une analyse technique approfondie de la montée en puissance du device code phishing en 2026, technique exploitant le flux OAuth 2.0 Device Authorization Grant.

📈 Tendance observée

Push Security a observé une augmentation de 37,5x des pages de device code phishing détectées en 2026 par rapport à l’année précédente. Dix kits distincts ont été identifiés en circulation, dont le plus prominent est EvilTokens, premier kit PhaaS (Phishing-as-a-Service) criminel dédié au device code phishing, lancé en février 2026.

🎯 Mécanisme d’attaque

L’attaquant génère un device_code et un user_code auprès du serveur d’autorisation, puis convainc la victime d’entrer ce code sur la page légitime de l’application ciblée. Une fois le code validé, l’attaquant récupère :

• Un access token
• Un refresh token (si offline_access demandé)
• Un ID token (si openid inclus)

L’attaque contourne tous les mécanismes MFA, y compris les passkeys, car elle cible la couche d’autorisation post-authentification.

🦠 Campagnes notables

• Storm-2372 : groupe aligné Russie, ciblant des cibles de renseignement stratégique via spear-phishing et device code phishing
• Scattered Lapsus$ Hunters (SLH) : campagne massive ciblant Salesforce via vishing + device code phishing, résultant en 1000+ organisations compromises et 1,5 milliard de records volés revendiqués
• EvilTokens PhaaS : infrastructure Cloudflare Workers (frontend) + Railway (backend), rapporté par Huntress, Sekoia et Push Security
• Venom : kit PhaaS closed-source similaire à EvilTokens, rapporté par Abnormal
• ConsentFix : campagne hybride ClickFix + abus OAuth utilisant des scopes legacy Microsoft non loggés par défaut

🧰 Kits identifiés

⚙️ Techniques spécifiques

• Abus des applications first-party Microsoft (pré-consenties, scopes legacy)
• Exploitation du Family of Client IDs (FOCI) pour pivoter entre apps sans ré-authentification
• Pages de phishing avec anti-bot, redirections multiples, pop-up pour la saisie du code
• Polling continu de nouveaux codes via API pour contourner l’expiration de 15 minutes

📋 Type d’article

Analyse technique et de menace publiée par un vendor de sécurité, visant à documenter l’évolution du device code phishing, présenter les kits actifs avec leurs IOCs, et informer les équipes de sécurité sur les mécanismes d’attaque.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Storm-2372 (state-sponsored)
• Scattered Lapsus$ Hunters (cybercriminal)

TTP

• T1566 — Phishing (Initial Access)
• T1528 — Steal Application Access Token (Credential Access)
• T1550.001 — Use Alternate Authentication Material: Application Access Token (Defense Evasion)
• T1078 — Valid Accounts (Defense Evasion)
• T1556 — Modify Authentication Process (Credential Access)
• T1539 — Steal Web Session Cookie (Credential Access)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)

IOC

• IPv4 : 162.220.232.71 — AbuseIPDB · VT · ThreatFox
• IPv4 : 71.11.42.193 — AbuseIPDB · VT · ThreatFox
• IPv4 : 72.218.25.107 — AbuseIPDB · VT · ThreatFox
• IPv4 : 147.45.60.47 — AbuseIPDB · VT · ThreatFox
• IPv4 : 162.243.166.119 — AbuseIPDB · VT · ThreatFox
• IPv4 : 185.176.220.22 — AbuseIPDB · VT · ThreatFox
• IPv4 : 192.3.225.100 — AbuseIPDB · VT · ThreatFox
• IPv4 : 144.172.103.240 — AbuseIPDB · VT · ThreatFox
• IPv4 : 43.166.163.163 — AbuseIPDB · VT · ThreatFox
• IPv4 : 34.53.159.84 — AbuseIPDB · VT · ThreatFox
• IPv6 : 2600:1f10:470d:9a00:1437:ec30:be61:3494 — AbuseIPDB · VT · ThreatFox
• Domaines : teams-zpfvwnpxuc.edgeone.dev — VT · URLhaus · ThreatFox
• Domaines : authenticate-m365-accountsecurity-m-pi.vercel.app — VT · URLhaus · ThreatFox
• Domaines : secure-systems-validations-courts.vercel.app — VT · URLhaus · ThreatFox
• Domaines : interface-auth-en-useast.global.ssl.fastly.net — VT · URLhaus · ThreatFox
• Domaines : index-z059-document-pending-reviewsign-xlss7994824.awalizer.workers.dev — VT · URLhaus · ThreatFox
• Domaines : cghdfg.vbchkioi.su — VT · URLhaus · ThreatFox
• Domaines : auth.duemineral.uk — VT · URLhaus · ThreatFox
• Domaines : api.duemineral.uk — VT · URLhaus · ThreatFox
• Domaines : api.loadingdocuments.uk — VT · URLhaus · ThreatFox
• Domaines : sdtr-site.cfd — VT · URLhaus · ThreatFox
• Domaines : milosh-solibella-0dcio.sgttommy.workers.dev — VT · URLhaus · ThreatFox
• Domaines : docufirmar.github.io — VT · URLhaus · ThreatFox
• Domaines : salaryadjustment-2afb52.pmb6fefc52b3f9aa5c2dbf.workers.dev — VT · URLhaus · ThreatFox
• Domaines : redirect-523346-d95027ec.s3.amazonaws.com — VT · URLhaus · ThreatFox
• Domaines : owa.apmmacleans.ca — VT · URLhaus · ThreatFox
• Domaines : data-migration-dolcegabbana.powerappsportals.com — VT · URLhaus · ThreatFox

Malware / Outils

• EvilTokens (other)
• PhishInSuits (framework)
• SquarePhish (tool)
• SquarePhish2 (tool)
• DeviceCodePhishing (tool)
• GitPhish (tool)
• Venom (other)

🟢 Indice de vérification factuelle : 67/100 (haute)

• ✅ 22754 chars — texte complet (fulltext extrait) (15pts)
• ✅ 27 IOCs (IPs/domaines/CVEs) (10pts)
• ✅ 2/6 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (12pts)
• ✅ 7 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : Storm-2372, Scattered Lapsus$ Hunters (5pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• teams-zpfvwnpxuc.edgeone.dev (domain) → VT (5/94 détections)
• secure-systems-validations-courts.vercel.app (domain) → VT (13/94 détections)

🔗 Source originale : https://pushsecurity.com/blog/device-code-phishing/