📰 Source : The Register — Article publié le 7 avril 2026, basé sur des déclarations de Tanmay Ganacharya, VP de la recherche en sécurité chez Microsoft, et un blog technique de Microsoft publié le 7 avril 2026.

Contexte

Depuis le 15 mars 2026, une campagne de phishing par device code OAuth 2.0 cible des centaines d’organisations à l’échelle mondiale. Microsoft observe 10 à 15 campagnes distinctes lancées toutes les 24 heures, chacune distribuée à grande échelle avec des payloads variés et uniques, rendant la détection par signatures difficile.

Kit utilisé : EvilTokens

La campagne présente des similarités d’outillage et d’infrastructure avec EvilTokens, un kit de phishing par device code vendu en tant que service depuis mi-février 2026. Ce kit permet de :

  • Contourner le MFA (Multi-Factor Authentication)
  • S’authentifier silencieusement en tant que victime sur Microsoft 365
  • Une extension prévue à Gmail et Okta est annoncée par ses opérateurs

Chaîne d’attaque

  1. Reconnaissance : Interrogation de l’API GetCredentialType de Microsoft pour vérifier l’existence et l’activité des adresses email ciblées — 10 à 15 jours avant le phishing.
  2. Phishing personnalisé par IA : Génération d’emails hyper-personnalisés selon le rôle de la cible (demandes de propositions, factures, workflows de fabrication).
  3. Redirections automatisées : Utilisation de domaines légitimes compromis sur des plateformes serverless (Railway, Cloudflare Workers, DigitalOcean, AWS Lambda) pour éviter les scanners d’URL.
  4. Page de phishing finale : Simule une fenêtre de navigateur légitime, invite la victime à cliquer sur un bouton de vérification d’identité redirigeant vers microsoft.com/devicelogin.
  5. Génération dynamique de device code : Le code est généré à la dernière étape de la chaîne (et non en amont), maximisant la fenêtre de validité de 15 minutes.
  6. Polling en temps réel : La fonction checkStatus() interroge l’endpoint /state de l’attaquant toutes les 3 à 5 secondes via setInterval pour détecter l’authentification de la victime.
  7. Exfiltration du token : Une fois la victime authentifiée, le live access token est transmis à l’infrastructure de l’attaquant, permettant le contournement du MFA.

Activités post-compromission

  • Enregistrement de nouveaux appareils dans les 10 minutes pour générer un Primary Refresh Token (PRT) assurant une persistance long terme
  • Vol de données email sensibles
  • Création de règles de boîte de réception (ex : transfert automatique des emails contenant « payroll » ou « invoice »)
  • Focus systématique sur les personas financiers avec exfiltration automatisée des emails

Secteurs et géographie

Toutes les industries et toutes les régions géographiques sont ciblées. L’activité post-compromission révèle un focus constant sur les fonctions financières.

📌 Type d’article : Analyse de menace — cet article vise à documenter une campagne active à grande échelle, décrire sa chaîne d’attaque technique et alerter les défenseurs sur les mécanismes d’évasion employés.

🧠 TTPs et IOCs détectés

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1114.002 — Email Collection: Remote Email Collection (Collection)
  • T1114.003 — Email Collection: Email Forwarding Rule (Collection)
  • T1598.004 — Phishing for Information: Spearphishing Voice (Reconnaissance)
  • T1087 — Account Discovery (Discovery)
  • T1550.001 — Use Alternate Authentication Material: Application Access Token (Defense Evasion)
  • T1098.005 — Account Manipulation: Device Registration (Persistence)
  • T1036 — Masquerading (Defense Evasion)
  • T1583.008 — Acquire Infrastructure: Serverless (Resource Development)

Malware / Outils

  • EvilTokens (other)

🟡 Indice de vérification factuelle : 40/100 (moyenne)

  • ⬜ theregister.com — source non référencée (0pts)
  • ✅ 9967 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 12 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.theregister.com/2026/04/07/microsoft_device_code_phishing/