🏛️ Contexte

Le 21 mai 2026, le FBI (Internet Crime Complaint Center) a publié une alerte publique (PSA n° I-052126-PSA) concernant une nouvelle plateforme Phishing-as-a-Service (PhaaS) nommée Kali365, observée pour la première fois en avril 2026.

🎯 Description de la menace

Kali365 est une plateforme PhaaS distribuée principalement via Telegram, accessible par abonnement. Elle permet à des attaquants, y compris peu techniques, de mener des campagnes de phishing ciblant les environnements Microsoft 365.

Les capacités offertes par la plateforme incluent :

  • Leurres de phishing générés par IA
  • Modèles de campagnes automatisés
  • Tableaux de bord de suivi en temps réel
  • Capture de tokens OAuth (accès et rafraîchissement)

🔄 Mécanisme d’attaque (Device Code Flow Abuse)

  1. Leurre : L’attaquant envoie un email de phishing imitant des services cloud légitimes (partage de documents, productivité), contenant un code de périphérique et un lien vers une page Microsoft légitime.
  2. Autorisation : La victime se rend sur la vraie page Microsoft et saisit le code, autorisant ainsi à son insu le périphérique de l’attaquant.
  3. Vol de token : L’attaquant capture les tokens OAuth d’accès et de rafraîchissement.
  4. Persistance : L’attaquant accède durablement aux services Outlook, Teams et OneDrive sans mot de passe ni défi MFA supplémentaire.

🛡️ Vecteur clé

L’attaque exploite le flux d’authentification par code de périphérique (Device Code Flow) de Microsoft, permettant de contourner le MFA sans jamais intercepter les identifiants de la victime.

📋 Type d’article

Il s’agit d’une alerte de sécurité officielle émise par le FBI, dont le but principal est d’informer le public et les organisations de l’existence et du fonctionnement de la plateforme Kali365, et d’orienter les victimes potentielles vers le signalement via IC3.

🧠 TTPs et IOCs détectés

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1550.001 — Use Alternate Authentication Material: Application Access Token (Defense Evasion)
  • T1078 — Valid Accounts (Persistence)
  • T1583.006 — Acquire Infrastructure: Web Services (Resource Development)

Malware / Outils

  • Kali365 (other)

🟡 Indice de vérification factuelle : 60/100 (moyenne)

  • ✅ ic3.gov — source reconnue (liste interne) (20pts)
  • ✅ 3887 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.ic3.gov/PSA/2026/PSA260521