Device Code Lab (DCL) : analyse approfondie d'un kit de phishing OAuth professionnel

🔍 Contexte

Publié le 28 mai 2026 par le chercheur Paul Newton sur son blog de cybersécurité, cet article constitue une analyse technique approfondie de Device Code Lab (DCL), également connu sous le nom AUTHOV, une plateforme de phishing-as-a-service (PhaaS) professionnelle découverte lors d’activités de threat hunting. L’infrastructure initiale a été identifiée sur l’IP 192.3.225.100 avec le titre de panneau « Device Code Lab ».

🎯 Fonctionnement général

DCL est une plateforme centralisée de vol de tokens OAuth exploitant le flux d’authentification Device Code Flow de Microsoft. Elle génère des codes de périphérique via l’endpoint /oauth2/v2.0/devicecode, affiche le user_code à la victime via une landing page Cloudflare Workers, puis capture le jeu complet de tokens OAuth (access token ~1h, refresh token ~90 jours) dès que la victime s’authentifie.

⚙️ Capacités de post-exploitation

FOCI Pivoting (Family of Client IDs) :

• Un seul refresh token capturé permet d’accéder silencieusement à Microsoft Graph, Exchange/Outlook, OneDrive, Teams, Azure Management, Azure Key Vault, Office Management
• Aucune interaction supplémentaire de la victime requise

PRT Capture via Virtual Device Registration :

• Utilise le client_id 29d9ed98-a469-4536-ade2-f981bc1d605e (Microsoft Authentication Broker)
• Enregistre un appareil virtuel attaquant contre Entra ID côté serveur
• Microsoft émet un PRT légitime (~90 jours) lié à cet appareil virtuel
• Survit à revokeSignInSessions (révocation OAuth standard)
• Génère des cookies x-ms-RefreshTokenCredential (5 min) et ESTSAUTH* (14 jours)

Token Import :

• Importe des tokens capturés par des outils externes : Evilginx, Modlishka
• Supporte jusqu’à 500 tokens en import JSON bulk ou format Telegram .txt

Mail Sweep :

• Recherche simultanée par mots-clés (ex: « wire transfer », « invoice ») sur toutes les boîtes capturées via Microsoft Graph/KQL

Mailbox Address Extraction :

• Extraction de toutes les adresses email (To, From, CC, BCC) pour alimenter des campagnes secondaires

Entra ID Role Enumeration :

• Détection automatique des rôles privilégiés : Global Admin, Exchange Admin, Security Admin

🛡️ Évasion défensive

• Proxy résidentiel géo-routé : BrightData, IPRoyal, HydraProxy, Smartproxy, Oxylabs — les requêtes vers Microsoft apparaissent depuis des IPs résidentielles correspondant à la géographie de la victime, contournant les Conditional Access Policies et les détections d’impossible travel
• Anti-analyse (redirecteur PHP) : filtrage par réputation IP via ip-api.com, challenge HMAC fingerprint invisible contre les bots
• Domain Hunter : sourcing automatisé de domaines expirés via ExpiredDomains.net avec scoring multi-sources (VirusTotal, Google Safe Browsing, PhishTank, Wayback Machine)
• Déploiement Cloudflare Workers : landing pages via l’API Cloudflare REST

👥 Fonctionnalités opérationnelles

• MFA TOTP pour les opérateurs (Google Authenticator)
• Multi-opérateurs avec RBAC, journalisation, attribution de tokens
• Notifications Telegram C2 à la capture de token
• Changelog intégré (43 entrées sur 3 jours en avril 2026) indiquant un développement professionnel actif

📡 IOCs identifiés

IPs et domaines d’infrastructure DCL documentés, ainsi que des patterns d’API endpoints distinctifs pour le hunting dans les logs proxy.

📋 Type d’article

Analyse technique approfondie à visée CTI et threat hunting, documentant les capacités complètes d’une plateforme PhaaS active avec IOCs et opportunités de détection.

🧠 TTPs et IOCs détectés

TTP

• T1566 — Phishing (Initial Access)
• T1528 — Steal Application Access Token (Credential Access)
• T1539 — Steal Web Session Cookie (Credential Access)
• T1550.001 — Use Alternate Authentication Material: Application Access Token (Defense Evasion)
• T1090.003 — Proxy: Multi-hop Proxy (Command and Control)
• T1114.002 — Email Collection: Remote Email Collection (Collection)
• T1087.004 — Account Discovery: Cloud Account (Discovery)
• T1098 — Account Manipulation (Persistence)
• T1556 — Modify Authentication Process (Credential Access)
• T1583.001 — Acquire Infrastructure: Domains (Resource Development)
• T1596 — Search Open Technical Databases (Reconnaissance)

IOC

• IPv4 : 104.219.239.125 — AbuseIPDB · VT · ThreatFox
• IPv4 : 172.81.130.130 — AbuseIPDB · VT · ThreatFox
• IPv4 : 67.215.253.44 — AbuseIPDB · VT · ThreatFox
• IPv4 : 192.3.225.100 — AbuseIPDB · VT · ThreatFox
• IPv4 : 104.21.78.8 — AbuseIPDB · VT · ThreatFox
• IPv4 : 172.67.214.105 — AbuseIPDB · VT · ThreatFox
• IPv4 : 104.21.85.226 — AbuseIPDB · VT · ThreatFox
• Domaines : api.controltkeusa.com — VT · URLhaus · ThreatFox
• Domaines : api.babalfashion.com — VT · URLhaus · ThreatFox
• Domaines : api.skysharegroup.com — VT · URLhaus · ThreatFox
• Domaines : babalfashion.com — VT · URLhaus · ThreatFox
• Domaines : skysharegroup.com — VT · URLhaus · ThreatFox

Malware / Outils

• Device Code Lab (DCL / AUTHOV) (framework)
• Evilginx (framework)
• Modlishka (framework)
• Kali365 (other)
• roadtx (tool)

🟡 Indice de vérification factuelle : 50/100 (moyenne)

• ⬜ newtonpaul.com — source non référencée (0pts)
• ✅ 46963 chars — texte complet (fulltext extrait) (15pts)
• ✅ 12 IOCs (IPs/domaines/CVEs) (10pts)
• ⬜ 0/6 IOCs confirmés externellement (0pts)
• ✅ 11 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://newtonpaul.com/blog/device-code-lab-post-exploit/