EvilTokens : un toolkit PhaaS exploitant l'OAuth 2.0 pour du phishing de tokens à grande échelle

🔍 Contexte

Publié le 27 mai 2026 par Netcraft (auteure : Ginny Spicer), cet article présente une analyse technique d’une vague d’attaques de device code phishing propulsées par le toolkit EvilTokens, ainsi qu’une campagne connexe baptisée GhostPairing ciblant les messageries sécurisées.

⚙️ Mécanisme d’attaque EvilTokens

EvilTokens abuse du flux d’autorisation par code d’appareil OAuth 2.0 :

1. L’attaquant vérifie l’existence d’un compte cible via l’endpoint GetCredentialType sur login.microsoftonline.com
2. Une lure est envoyée à la victime contenant une URL ou pièce jointe « nécessitant une authentification »
3. La page malveillante génère un device code au moment du chargement (réinitialisant le délai d’expiration de 15 minutes de Microsoft)
4. La victime entre le code sur l’URL de vérification légitime (ex. microsoft.com/devicelogin)
5. Le client de l’attaquant, en polling sur l’endpoint token, reçoit des access et refresh tokens lui donnant un accès API persistant sous l’identité de la victime

Le toolkit intègre : copie automatique du code dans le presse-papiers, design responsive pour mobile, mécanisme anti-bot (case à cocher), et des mécanismes anti-analyse (désactivation du clic droit, obfuscation JavaScript multi-couches, collecte d’informations via ipinfo.io).

🎯 Clusters identifiés

Cluster Auth038362 :

• Domaines compromis liés à une école de jiu-jitsu à Peterborough, Canada
• Infrastructure hébergée sur Azure avec une page « human check » commune à plusieurs sites EvilTokens
• URLs : erismartialarts.com/Auth038362/, 10thplanetptbo.ca/Auth038362/, erismaa.ca/Auth038362/, 10thplanetpeterborough.ca/Auth038362/, 10thplanetptbo.com/Auth038362/

Cluster Requests For Quote (RFQ) :

• Lures imitant des demandes de devis de service
• Domaines incluant ‘rfq’ ou ‘bidforproject’
• Hébergement également sur workers.dev
• Exemples : rfq-documentations-value[.]website, technical-projectrfq-files[.]beauty, sea-your-rfq-documents[.]info, look-the-rfqdocuments[.]site, outlinedrequirements-rfq[.]online, detailed-rfq-presentation[.]com, presentation-rfq-files[.]com

Cluster Voicemail :

• Lures imitant des messages vocaux et fichiers audio
• Usurpation directe de Microsoft et de son service Cloud Voicemail
• Cible les environnements enterprise

👻 GhostPairing

GhostPairing applique la même logique d’abus post-authentification aux messageries sécurisées (WhatsApp, Signal) :

• L’attaquant récupère un QR code de jumelage légitime depuis le service cible
• Le présente à la victime sur une page lure
• Quand la victime scanne le QR, elle autorise le client de l’attaquant à accéder à son compte
• Netcraft a démantelé l’infrastructure de relais phishing associée en mars 2026
• L’AIVD néerlandais et Microsoft ont rapporté l’utilisation de cette technique par des acteurs étatiques russes, notamment Storm-2372, ciblant Signal, WhatsApp et Teams

🤖 Infrastructure IA

Microsoft allègue l’utilisation d’IA générative dans EvilTokens pour personnaliser les lures selon les rôles des cibles. Netcraft n’a pas confirmé indépendamment cet élément mais note une personnalisation cohérente avec cette hypothèse.

📊 Type d’article

Il s’agit d’une publication de recherche de Netcraft visant à documenter techniquement le toolkit EvilTokens, ses clusters d’activité, et la campagne GhostPairing, avec fourniture d’IoCs et de contexte d’attribution partielle.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Storm-2372 (state-sponsored) — orkl.eu · Malpedia

TTP

• T1566 — Phishing (Initial Access)
• T1528 — Steal Application Access Token (Credential Access)
• T1550.001 — Use Alternate Authentication Material: Application Access Token (Defense Evasion)
• T1056 — Input Capture (Collection)
• T1583.001 — Acquire Infrastructure: Domains (Resource Development)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1497 — Virtualization/Sandbox Evasion (Defense Evasion)

IOC

• Domaines : erismartialarts.com — VT · URLhaus · ThreatFox
• Domaines : 10thplanetptbo.ca — VT · URLhaus · ThreatFox
• Domaines : erismaa.ca — VT · URLhaus · ThreatFox
• Domaines : 10thplanetpeterborough.ca — VT · URLhaus · ThreatFox
• Domaines : 10thplanetptbo.com — VT · URLhaus · ThreatFox
• Domaines : rfq-documentations-value.website — VT · URLhaus · ThreatFox
• Domaines : technical-projectrfq-files.beauty — VT · URLhaus · ThreatFox
• Domaines : sea-your-rfq-documents.info — VT · URLhaus · ThreatFox
• Domaines : look-the-rfqdocuments.site — VT · URLhaus · ThreatFox
• Domaines : outlinedrequirements-rfq.online — VT · URLhaus · ThreatFox
• Domaines : detailed-rfq-presentation.com — VT · URLhaus · ThreatFox
• Domaines : presentation-rfq-files.com — VT · URLhaus · ThreatFox
• URLs : https://erismartialarts.com/Auth038362/ — URLhaus
• URLs : https://10thplanetptbo.ca/Auth038362/ — URLhaus
• URLs : https://erismaa.ca/Auth038362/ — URLhaus
• URLs : https://10thplanetpeterborough.ca/Auth038362/ — URLhaus
• URLs : https://10thplanetptbo.com/Auth038362/ — URLhaus

Malware / Outils

• EvilTokens (other)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

• ⬜ netcraft.com — source non référencée (0pts)
• ✅ 16903 chars — texte complet (fulltext extrait) (15pts)
• ✅ 17 IOCs (IPs/domaines/CVEs) (10pts)
• ⬜ 0/6 IOCs confirmés externellement (0pts)
• ✅ 7 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : Storm-2372 (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.netcraft.com/blog/eviltokens-and-oauth-abuse