🔍 Contexte

Cisco Talos a publié le 1er juillet 2026 une analyse technique détaillée d’ARToken, un panel de type Phishing-as-a-Service (PhaaS) découvert lors d’un engagement de réponse à incident. Ce panel partage infrastructure, contrats API et patterns opérationnels avec la plateforme EvilTokens, documentée par Sekoia et Microsoft début 2026.

🎯 Description de la menace

ARToken expose plus de 80 endpoints API permettant à des affiliés d’effectuer :

  • Device code phishing via l’abus du flux OAuth 2.0 Device Authorization Grant (RFC 8628)
  • Acquisition et persistance de Primary Refresh Token (PRT) survivant aux réinitialisations de mot de passe
  • Opérations BEC (Business Email Compromise) avec outil intégré ARTSender
  • Exfiltration SharePoint/OneDrive
  • Surveillance multi-boîtes mail par mots-clés (Box Monitor)

Le panel est accessible via un dashboard React (SPA), dont le bundle JavaScript de 1,7 Mo expose l’intégralité du code client sans authentification.

🔗 Liens avec EvilTokens

Les connexions techniques entre ARToken et EvilTokens incluent :

  • Contrat API identique : POST /api/device/start avec paramètre clientMode: "broker" spécifique à EvilTokens
  • Cycle de vie PRT identique : endpoints /prt/setup, /prt/refresh, /prt/renew, /prt/reacquire, /prt/cookie
  • Modèle de déploiement Cloudflare Workers avec patterns UUID-prefixed similaires
  • Modèle opérationnel multi-tenant identique avec notifications Telegram

🛡️ Système anti-analyse en 7 couches

Le kit déploie une vérification comportementale client-side :

  1. Regex User-Agent (bloque headless browsers, crawlers)
  2. Détection navigator.webdriver
  3. Fingerprinting des fonctionnalités navigateur
  4. Analyse des dimensions de fenêtre
  5. Télémétrie d’interaction (3+ mouvements souris ou 1+ événement tactile)
  6. Délai minimum de 800ms depuis le chargement
  7. Analyse de trajectoire de souris (mouvement non-linéaire requis)

Le payload JavaScript est chiffré avec une clé XOR 16 octets et déchiffré à l’exécution.

📧 Leurre observé en conditions réelles

Deux emails quasi-identiques envoyés le 20 avril 2026 usurpent un contact comptes-fournisseurs d’un contractant du Wisconsin pour cibler une entreprise américaine du secteur des sciences de la vie. Les emails échouent aux contrôles SPF, DKIM et DMARC, utilisent un Reply-To détourné, et redirigent vers un tenant SharePoint contrôlé par l’attaquant imitant le tenant légitime.

💰 Modèle économique

La plateforme est vendue à 1 500 $ (one-time) + 500 $/mois, avec un “Portal Browser” standalone (ARTBrowser) à 500 $ lifetime.

📋 Type d’article

Analyse technique approfondie publiée par Cisco Talos, visant à documenter les capacités étendues d’ARToken/EvilTokens et fournir des IOCs exploitables pour la communauté CTI.

🧠 TTPs et IOCs détectés

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1098.001 — Account Manipulation: Additional Cloud Credentials (Persistence)
  • T1114.002 — Email Collection: Remote Email Collection (Collection)
  • T1550.001 — Use Alternate Authentication Material: Application Access Token (Lateral Movement)
  • T1531 — Account Access Removal (Impact)
  • T1583.006 — Acquire Infrastructure: Web Services (Resource Development)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)

IOC

Malware / Outils

  • ARToken (framework)
  • EvilTokens (framework)
  • ARTSender (tool)
  • ARTBrowser (tool)

🟢 Indice de vérification factuelle : 85/100 (haute)

  • ✅ blog.talosintelligence.com — source reconnue (liste interne) (20pts)
  • ✅ 14122 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 5 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 3/3 IOCs confirmés (ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 9 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • dashboard-bl.pamconj.com (domain) → VT (3/91 détections)
  • spx.pamconj.com (domain) → VT (3/91 détections)
  • clear90489058903-document.workers.dev (domain) → VT (13/91 détections)

🔗 Source originale : https://blog.talosintelligence.com/artoken-inside-an-eviltokens-affiliate-panel-targeting-microsoft-365/