📰 Source : Sekoia TDR (blog.sekoia.io) — Date de publication : 7 avril 2026 (rapport FLINT TLP:AMBER distribuĂ© le 30 mars 2026)

Contexte

EvilTokens est un kit de Phishing-as-a-Service (PhaaS) apparu depuis mi-fĂ©vrier 2026, spĂ©cialisĂ© dans le device code phishing Microsoft et la fraude BEC (Business Email Compromise). Cet article constitue la partie 2 d’une analyse technique approfondie publiĂ©e par l’Ă©quipe TDR de Sekoia.

Fonctionnement du PhaaS

Le service est opĂ©rĂ© via Telegram par l’administrateur eviltokensadmin, qui propose trois produits :

  • EvilTokens B2B sender : 600$
  • EvilTokens Office 365 capture link (kit device code phishing) : 1500$ (accĂšs Ă  vie) + 500$/mois de licence
  • EvilTokens SMTP sender : 1000$

Les paiements sont traitĂ©s via la passerelle crypto NOWPayments. Un navigateur personnalisĂ© nommĂ© Portal Browser / ET Browser est Ă©galement vendu Ă  500$ sur machinemind-market[.]com, permettant l’accĂšs simultanĂ© Ă  plusieurs comptes Microsoft 365 compromis.

Architecture technique

Le kit PHP déployé par les affiliés (identifié sur GitHub via Railway.app) :

  • Impersonne DocuSign ou Microsoft Outlook
  • ImplĂ©mente deux mĂ©canismes anti-bot (validation User-Agent + token SHA256 temporel)
  • Relaie les requĂȘtes victimes vers un backend centralisĂ© via trois endpoints (api/device/start, api/device/status/{sessionId}, api/ext/link/create)
  • Utilise les headers X-Real-IP et X-Tenant-Secret pour l’authentification

Pipeline IA pour la fraude BEC

đŸ€– Le pipeline AI-driven d’EvilTokens se dĂ©roule en 6 Ă©tapes :

  1. Pages de phishing impersonnant Adobe Acrobat, DocuSign ou Microsoft
  2. Capture des tokens OAuth Microsoft (access + refresh)
  3. Échange des tokens contre un Primary Refresh Token (PRT) pour la persistance
  4. Reconnaissance via Microsoft Graph API : rÚgles de messagerie, contacts (finance/RH/légal/achats), calendriers, emails envoyés, dossiers financiers, manager, subordonnés, organisation
  5. Analyse LLM en deux Ă©tapes :
    • Stage 1 : ingestion de 5 000 emails par lots de 250 + rapport de reconnaissance → identification de l’exposition financiĂšre (modĂšle llama-3.1-8b-instant via API Groq)
    • Stage 2 : synthĂšse + gĂ©nĂ©ration de 3 emails BEC (modĂšle llama-3.3-70b-versatile via API Groq)
    • Traduction des emails non-anglais via gpt-4o-mini (OpenAI API)
  6. Envoi des rĂ©sultats (score BEC, rapport HTML, tokens convertis en cookies) au bot Telegram de l’attaquant

Techniques de jailbreak LLM

Les prompts adversariaux utilisent un jailbreak prĂ©sentant le modĂšle comme un “authorized red team security analyst” pour contourner les garde-fous des LLM et gĂ©nĂ©rer des emails BEC rĂ©alistes avec contexte rĂ©el (montants, numĂ©ros de factures, style d’Ă©criture imitĂ©).

Type d’article

Analyse technique approfondie d’un kit PhaaS actif, destinĂ©e Ă  documenter les capacitĂ©s offensives d’EvilTokens et Ă  fournir des Ă©lĂ©ments de dĂ©tection aux Ă©quipes CTI et SOC.

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1566 — Phishing (Initial Access)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1550.001 — Use Alternate Authentication Material: Application Access Token (Defense Evasion)
  • T1114.002 — Email Collection: Remote Email Collection (Collection)
  • T1087 — Account Discovery (Discovery)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1534 — Internal Spearphishing (Lateral Movement)
  • T1564 — Hide Artifacts (Defense Evasion)
  • T1598 — Phishing for Information (Reconnaissance)
  • T1557 — Adversary-in-the-Middle (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1496 — Resource Hijacking (Impact)
  • T1586.002 — Compromise Accounts: Email Accounts (Resource Development)

IOC

  • Domaines : machinemind-market.com — VT · URLhaus · ThreatFox
  • Fichiers : index.php

Malware / Outils

  • EvilTokens (other)
  • Portal Browser (tool)
  • ET Browser (tool)

🟡 Indice de vĂ©rification factuelle : 46/100 (moyenne)

  • ⬜ blog.sekoia.io — source non rĂ©fĂ©rencĂ©e (0pts)
  • ✅ 15000 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ 0/1 IOCs confirmĂ©s externellement (0pts)
  • ✅ 13 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommĂ© (0pts)
  • ⬜ pas de CVE Ă  vĂ©rifier (0pts)

🔗 Source originale : https://blog.sekoia.io/eviltokens-an-ai-augmented-phishing-as-a-service-for-automating-bec-fraud-part-2/