🔍 Contexte

Le 25 mai 2026, BleepingComputer relaie une alerte du FBI concernant la plateforme Kali365, un service de phishing-as-a-service (PhaaS) apparu en avril 2026 et distribué via Telegram. Cette alerte s’appuie également sur des recherches publiées par Arctic Wolf.

⚙️ Mécanisme d’attaque

Kali365 exploite le flux OAuth 2.0 Device Authorization Grant de Microsoft, conçu à l’origine pour les appareils à capacités d’entrée limitées (TV connectées, imprimantes, IoT). Le processus d’attaque se déroule ainsi :

  • L’attaquant initie lui-même le flux d’autorisation pour générer un code
  • La victime est trompée via phishing/ingénierie sociale pour entrer ce code sur microsoft.com/devicelogin
  • Une fois le code saisi et le MFA complété par la victime, Microsoft émet un token OAuth d’accès
  • L’attaquant obtient un accès complet sans avoir à résoudre de défi MFA

Cet accès s’étend à toutes les applications SSO de la victime : Microsoft 365, Salesforce, et autres plateformes SaaS cloud.

🛠️ Fonctionnalités de la plateforme

Kali365 propose deux modes d’attaque distincts :

  1. Device code phishing : exploitation du flux OAuth décrit ci-dessus
  2. Cookie Link (mode AitM) : proxyfication des victimes via une infrastructure contrôlée par l’attaquant pour capturer les sessions de navigateur authentifiées, cookies de session et tokens

La plateforme intègre également :

  • Leurres de phishing générés par IA
  • Templates de campagnes automatisés
  • Tableaux de bord de suivi des victimes en temps réel
  • Fonctionnalité de capture de tokens

🏗️ Structure organisationnelle

Arctic Wolf décrit Kali365 comme une véritable entreprise criminelle avec :

  • Des administrateurs gérant le développement produit
  • Des revendeurs promouvant le service
  • Des affiliés conduisant les campagnes de phishing

🎯 Impacts observés

Les campagnes observées par Arctic Wolf ont ciblé des organisations mondiales via des emails de phishing redirigeant vers le portail de connexion par code d’appareil de Microsoft. Les conséquences incluent :

  • Accès aux boîtes mail avec création de règles de messagerie malveillantes
  • Enregistrement de nouveaux appareils dans les environnements Microsoft des victimes
  • Exfiltration de données

🔗 Contexte élargi

Le device code phishing connaît une adoption croissante en 2026, utilisé également par EvilTokens PhaaS, Tycoon2FA, et des groupes comme ShinyHunters (signalé en février 2026 par BleepingComputer).

📋 Type d’article

Il s’agit d’une alerte de sécurité émise par le FBI, relayée et enrichie par des données de recherche d’Arctic Wolf, visant à informer les organisations sur une menace PhaaS active ciblant les environnements Microsoft 365.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Kali365 (cybercriminal) —
  • ShinyHunters (cybercriminal) — orkl.eu · Malpedia
  • EvilTokens (cybercriminal) —
  • Tycoon2FA (cybercriminal) —

TTP

  • T1566 — Phishing (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1556 — Modify Authentication Process (Credential Access)
  • T1098.005 — Account Manipulation: Device Registration (Persistence)
  • T1564.008 — Hide Artifacts: Email Hiding Rules (Defense Evasion)
  • T1557 — Adversary-in-the-Middle (Credential Access)

Malware / Outils

  • Kali365 (other)
  • EvilTokens (other)
  • Tycoon2FA (other)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 4563 chars — texte complet (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : Kali365, ShinyHunters, EvilTokens (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/fbi-warns-of-kali365-phishing-service-targeting-microsoft-365-accounts/