📅 Source et contexte : Analyse publiée le 4 mai 2026 par la Microsoft Defender Security Research Team et Microsoft Threat Intelligence, documentant une campagne de phishing à grande échelle observée entre le 14 et le 16 avril 2026.

🎯 Portée de la campagne : La campagne a ciblé plus de 35 000 utilisateurs répartis dans plus de 13 000 organisations dans 26 pays, avec une concentration majoritaire aux États-Unis (92%). Les secteurs les plus touchés sont :

  • Santé & sciences de la vie (19%)
  • Services financiers (18%)
  • Services professionnels (11%)
  • Technologie & logiciels (11%)

📧 Mécanisme d’attaque — Leurres et ingénierie sociale : Les emails se présentaient comme des communications internes de conformité, avec des noms d’expéditeurs tels que “Internal Regulatory COC”, “Workforce Communications” ou “Team Conduct Report”. Les objets évoquaient des cas de non-conformité. Chaque message contenait une pièce jointe PDF (ex: Awareness Case Log File – Tuesday 14th, April 2026.pdf) invitant à cliquer sur un lien “Review Case Materials”. Les emails incluaient une fausse mention de chiffrement Paubox pour renforcer la crédibilité.

🔗 Chaîne d’attaque multi-étapes :

  1. Redirection vers un domaine attaquant affichant un CAPTCHA Cloudflare (filtrage des analyses automatisées)
  2. Page intermédiaire demandant une authentification pour accéder aux documents
  3. Second CAPTCHA par sélection d’images
  4. Page finale invitant à se connecter via “Sign in with Microsoft”
  5. Redirection vers une page Microsoft authentique dans un flux AiTM (Adversary-in-the-Middle) capturant les tokens d’authentification en temps réel, contournant le MFA non résistant au phishing

🏗️ Infrastructure : Les emails ont été envoyés via un service légitime de distribution d’emails, probablement depuis une VM Windows hébergée dans le cloud. Les domaines d’expédition sont vraisemblablement contrôlés par les attaquants (cocinternal[.]com, gadellinet[.]com, harteprn[.]com). Les pages de destination utilisaient des domaines en .de (compliance-protectionoutlook[.]de, acceptable-use-policy-calendly[.]de).

📊 Type d’article : Publication de recherche technique à visée CTI, documentant les TTPs, l’infrastructure, les IoCs et les détections associées à une campagne de phishing AiTM active.

🧠 TTPs et IOCs détectés

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1557 — Adversary-in-the-Middle (Credential Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1078 — Valid Accounts (Persistence)
  • T1598.002 — Phishing for Information: Spearphishing Attachment (Reconnaissance)
  • T1656 — Impersonation (Defense Evasion)
  • T1036 — Masquerading (Defense Evasion)

IOC

  • Domaines : compliance-protectionoutlook.deVT · URLhaus · ThreatFox
  • Domaines : acceptable-use-policy-calendly.deVT · URLhaus · ThreatFox
  • Domaines : cocinternal.comVT · URLhaus · ThreatFox
  • Domaines : gadellinet.comVT · URLhaus · ThreatFox
  • Domaines : harteprn.comVT · URLhaus · ThreatFox
  • Domaines : na.businesshellosign.deVT · URLhaus · ThreatFox
  • SHA256 : 5DB1ECBBB2C90C51D81BDA138D4300B90EA5EB2885CCE1BD921D692214AECBC6VT · MalwareBazaar
  • SHA256 : B5A3346082AC566B4494E6175F1CD9873B64ABE6C902DB49BD4E8088876C9EADVT · MalwareBazaar
  • SHA256 : 11420D6D693BF8B19195E6B98FEDD03B9BCBC770B6988BC64CB788BFABE1A49DVT · MalwareBazaar
  • Emails : cocpostmaster@cocinternal.com
  • Emails : nationaladmin@gadellinet.com
  • Emails : nationalintegrity@harteprn.com
  • Emails : m365premiumcommunications@cocinternal.com
  • Emails : documentviewer@na.businesshellosign.de
  • Fichiers : Awareness Case Log File – Monday 13th, April 2026.pdf
  • Fichiers : Awareness Case Log File – Tuesday 14th, April 2026.pdf
  • Fichiers : Awareness Case Log File – Wednesday 15th, April 2026.pdf
  • Fichiers : Disciplinary Action – Employee Device Handling Case.pdf

🟢 Indice de vérification factuelle : 90/100 (haute)

  • ✅ microsoft.com — source reconnue (liste interne) (20pts)
  • ✅ 18350 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 18 IOCs dont des hashes (15pts)
  • ✅ 3/6 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • compliance-protectionoutlook.de (domain) → VT (17/91 détections)
  • acceptable-use-policy-calendly.de (domain) → VT (14/91 détections)
  • cocinternal.com (domain) → VT (11/91 détections)

🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2026/05/04/breaking-the-code-multi-stage-code-of-conduct-phishing-campaign-leads-to-aitm-token-compromise/