ConsentFix v3 : un nouveau toolkit criminel OAuth diffusé sur le forum XSS

🔍 Contexte

Publié le 23 avril 2026 par Push Security, cet article analyse ConsentFix v3, un nouveau toolkit criminel diffusé sur le forum XSS (suspecté d’avoir des liens avec des acteurs étatiques russes). Il s’appuie sur une technique initialement attribuée à APT29 en décembre 2025, puis améliorée par le chercheur John Hammond (v2), et désormais reprise par des cybercriminels.

⚙️ Technique ConsentFix

ConsentFix fusionne l’ingénierie sociale de type ClickFix avec le phishing de consentement OAuth. La victime est manipulée pour copier-coller (ou glisser-déposer) une URL Microsoft légitime contenant un code d’autorisation OAuth dans une page de phishing. Ce code est ensuite utilisé par l’attaquant pour s’authentifier sur une application Microsoft first-party (ex: Azure CLI) ciblant des apps avec des exclusions de Conditional Access connues.

Résultat : accès API au compte Entra ID de la victime, contournement du MFA (y compris passkeys), des contrôles de conformité des appareils et du Conditional Access.

🛠️ ConsentFix v3 — Détails techniques

Le toolkit v3 permet d’instrumenter l’intégralité de la chaîne d’attaque :

• Déploiement d’infrastructure de phishing
• Création de personas crédibles
• Gestion de campagnes email
• Automatisation de l’échange du token OAuth capturé contre des tokens de session et refresh tokens

Outils SaaS et open-source utilisés :

• Cloudflare Workers : hébergement de l’infrastructure
• ZoomInfo : identification des cibles
• Dropbox : hébergement de PDF
• Pipedream : canal d’exfiltration (webhook pour échanger le code OAuth contre un refresh token)
• SpecterPortal : post-exploitation

🔗 Lien avec le device code phishing

ConsentFix et le device code phishing sont deux attaques OAuth distinctes (RFC 6749 vs RFC 8628) mais aux effets similaires. Les deux contournent le processus de login standard et les contrôles d’identité. Via les FOCI apps (Family of Client IDs), un attaquant peut pivoter silencieusement vers Outlook, Teams, OneDrive, SharePoint. Une escalade via le Primary Refresh Token (PRT) permet d’obtenir un accès SSO complet (méthode utilisée par Storm-2372 en 2025).

🌐 Portée au-delà de Microsoft

Bien que l’exploitation in-the-wild cible principalement Microsoft, les principes de ConsentFix s’appliquent aussi à Google Cloud CLI, GitHub CLI, Salesforce, AWS et d’autres services supportant l’authorization code grant avec localhost comme redirect URI.

📌 Nature de l’article

Il s’agit d’une analyse technique publiée par un vendeur de sécurité (Push Security), visant à documenter le toolkit ConsentFix v3, expliquer son fonctionnement, le replacer dans le contexte des attaques OAuth en hausse, et présenter les capacités de détection de leur propre plateforme.

🧠 TTPs et IOCs détectés

Acteurs de menace

• APT29 (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
• Storm-2372 (state-sponsored) — orkl.eu · Malpedia

TTP

• T1566 — Phishing (Initial Access)
• T1550.001 — Use Alternate Authentication Material: Application Access Token (Defense Evasion)
• T1528 — Steal Application Access Token (Credential Access)
• T1556 — Modify Authentication Process (Credential Access)
• T1204.001 — User Execution: Malicious Link (Execution)
• T1078 — Valid Accounts (Defense Evasion)
• T1098.005 — Account Manipulation: Device Registration (Persistence)

Malware / Outils

• ConsentFix v3 (tool)
• SpecterPortal (framework)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

• ⬜ pushsecurity.com — source non référencée (0pts)
• ✅ 14026 chars — texte complet (fulltext extrait) (15pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 7 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : APT29, Storm-2372 (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://pushsecurity.com/blog/consentfix-v3-analyzing-a-new-toolkit/