🗓️ Contexte
Source : cryptika.com (relayant cybersecuritynews.com), publiée le 4 juin 2026. L’analyse est basée sur les recherches d’Arctic Wolf, qui ont cartographié l’infrastructure complète de l’opération Kali365.
🎣 Description de la menace
Kali365 est une plateforme phishing-as-a-service (PhaaS) détectée pour la première fois en avril 2026. Elle exploite le flux d’autorisation de périphérique OAuth 2.0 de Microsoft (device authorization flow) pour contourner le MFA et voler des tokens d’authentification valides sans jamais avoir besoin du mot de passe de la victime.
Le mécanisme d’attaque fonctionne ainsi :
- Génération d’un code de connexion Microsoft légitime
- Intégration dans une fausse page de partage de document
- La victime entre le code sur le vrai site Microsoft
- L’attaquant reçoit silencieusement un token d’accès valide
🌐 Expansion de l’infrastructure
L’opération a considérablement évolué depuis son lancement :
- 126 hôtes malveillants identifiés, tous exécutant le même kit
- Usurpation de marques : Okta SSO, Xerox DocuShare, LiveDrive, AWS, GMX, Mail.ru, Yandex Disk, Odnoklassniki
- Un panneau C2 actif découvert à
panel.securehubcloud.com
🇷🇺 Campagne MAX Messenger
Une nouvelle campagne cible les utilisateurs russophones via MAX Messenger :
- Fausse page de réclamation de prix sur
greatness-marketing.top - Collecte du numéro de téléphone russe (+7), du OTP MAX Messenger et du code 2FA
- Exfiltration en temps réel via le bot Telegram @NovosibyrskyMoneyBot
- Propagation automatique via la liste de contacts des comptes compromis
💰 Modèle commercial
- Vendu sur Telegram pour environ 250 USD/mois, payé en Bitcoin
- Inclut des leurres générés par IA et des tableaux de bord de suivi des victimes en temps réel
- Le FBI a émis une alerte publique en mai 2026 concernant cette plateforme
📄 Type d’article
Article de presse spécialisée à forte composante CTI, visant à informer les équipes de sécurité sur l’expansion d’une opération PhaaS active et à fournir des indicateurs de compromission exploitables.
🧠 TTPs et IOCs détectés
TTP
- T1566 — Phishing (Initial Access)
- T1528 — Steal Application Access Token (Credential Access)
- T1550.001 — Use Alternate Authentication Material: Application Access Token (Defense Evasion)
- T1557 — Adversary-in-the-Middle (Credential Access)
- T1598 — Phishing for Information (Reconnaissance)
- T1583.001 — Acquire Infrastructure: Domains (Resource Development)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
- T1119 — Automated Collection (Collection)
- T1078 — Valid Accounts (Defense Evasion)
IOC
- IPv4 :
172.67.156.83— AbuseIPDB · VT · ThreatFox - IPv4 :
104.21.32.229— AbuseIPDB · VT · ThreatFox - Domaines :
panel.securehubcloud.com— VT · URLhaus · ThreatFox - Domaines :
api.securehubcloud.com— VT · URLhaus · ThreatFox - Domaines :
boss.securehubcloud.com— VT · URLhaus · ThreatFox - Domaines :
greatness-marketing.top— VT · URLhaus · ThreatFox - Domaines :
attachedfile.com— VT · URLhaus · ThreatFox - Domaines :
tk.mowell.tech— VT · URLhaus · ThreatFox - URLs :
https://open-box-rpps.jeff-1fd.workers.dev— URLhaus - SHA1 :
6894a51278ec89118276c2dd2dc36e6f9ea2790a— VT · MalwareBazaar - MD5 :
febb622cd9eeb5c8860dcef4cbfd4b74— VT · MalwareBazaar
Malware / Outils
- Kali365 (other)
🟢 Indice de vérification factuelle : 90/100 (haute)
- ✅ cryptika.com — source reconnue (Rösti community) (20pts)
- ✅ 6955 chars — texte complet (fulltext extrait) (15pts)
- ✅ 11 IOCs dont des hashes (15pts)
- ✅ 3/6 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (15pts)
- ✅ 9 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
panel.securehubcloud.com(domain) → VT (6/91 détections)api.securehubcloud.com(domain) → VT (11/91 détections)boss.securehubcloud.com(domain) → VT (9/91 détections)
🔗 Source originale : https://www.cryptika.com/kali365-phaas-operation-expands-beyond-microsoft-365-to-target-okta-and-max-messenger/