🔍 Contexte
Cisco Talos a publié le 1er juillet 2026 une analyse technique détaillée d’ARToken, un panel de type Phishing-as-a-Service (PhaaS) découvert lors d’un engagement de réponse à incident. Ce panel partage infrastructure, contrats API et patterns opérationnels avec la plateforme EvilTokens, documentée par Sekoia et Microsoft début 2026.
🎯 Description de la menace
ARToken expose plus de 80 endpoints API permettant à des affiliés d’effectuer :
- Device code phishing via l’abus du flux OAuth 2.0 Device Authorization Grant (RFC 8628)
- Acquisition et persistance de Primary Refresh Token (PRT) survivant aux réinitialisations de mot de passe
- Opérations BEC (Business Email Compromise) avec outil intégré ARTSender
- Exfiltration SharePoint/OneDrive
- Surveillance multi-boîtes mail par mots-clés (Box Monitor)
Le panel est accessible via un dashboard React (SPA), dont le bundle JavaScript de 1,7 Mo expose l’intégralité du code client sans authentification.
🔗 Liens avec EvilTokens
Les connexions techniques entre ARToken et EvilTokens incluent :
- Contrat API identique : POST /api/device/start avec paramètre
clientMode: "broker"spécifique à EvilTokens - Cycle de vie PRT identique : endpoints /prt/setup, /prt/refresh, /prt/renew, /prt/reacquire, /prt/cookie
- Modèle de déploiement Cloudflare Workers avec patterns UUID-prefixed similaires
- Modèle opérationnel multi-tenant identique avec notifications Telegram
🛡️ Système anti-analyse en 7 couches
Le kit déploie une vérification comportementale client-side :
- Regex User-Agent (bloque headless browsers, crawlers)
- Détection navigator.webdriver
- Fingerprinting des fonctionnalités navigateur
- Analyse des dimensions de fenêtre
- Télémétrie d’interaction (3+ mouvements souris ou 1+ événement tactile)
- Délai minimum de 800ms depuis le chargement
- Analyse de trajectoire de souris (mouvement non-linéaire requis)
Le payload JavaScript est chiffré avec une clé XOR 16 octets et déchiffré à l’exécution.
📧 Leurre observé en conditions réelles
Deux emails quasi-identiques envoyés le 20 avril 2026 usurpent un contact comptes-fournisseurs d’un contractant du Wisconsin pour cibler une entreprise américaine du secteur des sciences de la vie. Les emails échouent aux contrôles SPF, DKIM et DMARC, utilisent un Reply-To détourné, et redirigent vers un tenant SharePoint contrôlé par l’attaquant imitant le tenant légitime.
💰 Modèle économique
La plateforme est vendue à 1 500 $ (one-time) + 500 $/mois, avec un “Portal Browser” standalone (ARTBrowser) à 500 $ lifetime.
📋 Type d’article
Analyse technique approfondie publiée par Cisco Talos, visant à documenter les capacités étendues d’ARToken/EvilTokens et fournir des IOCs exploitables pour la communauté CTI.
🧠 TTPs et IOCs détectés
TTP
- T1566.002 — Phishing: Spearphishing Link (Initial Access)
- T1528 — Steal Application Access Token (Credential Access)
- T1098.001 — Account Manipulation: Additional Cloud Credentials (Persistence)
- T1114.002 — Email Collection: Remote Email Collection (Collection)
- T1550.001 — Use Alternate Authentication Material: Application Access Token (Lateral Movement)
- T1531 — Account Access Removal (Impact)
- T1583.006 — Acquire Infrastructure: Web Services (Resource Development)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
IOC
- Domaines :
dashboard-bl.pamconj.com— VT · URLhaus · ThreatFox - Domaines :
spx.pamconj.com— VT · URLhaus · ThreatFox - Domaines :
clear90489058903-document.workers.dev— VT · URLhaus · ThreatFox - Domaines :
mononapfpcom.sharepoint.com— VT · URLhaus · ThreatFox - Fichiers :
pumber.png
Malware / Outils
- ARToken (framework)
- EvilTokens (framework)
- ARTSender (tool)
- ARTBrowser (tool)
🟢 Indice de vérification factuelle : 85/100 (haute)
- ✅ blog.talosintelligence.com — source reconnue (liste interne) (20pts)
- ✅ 14122 chars — texte complet (fulltext extrait) (15pts)
- ✅ 5 IOCs (IPs/domaines/CVEs) (10pts)
- ✅ 3/3 IOCs confirmés (ThreatFox, URLhaus, VirusTotal) (15pts)
- ✅ 9 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
dashboard-bl.pamconj.com(domain) → VT (3/91 détections)spx.pamconj.com(domain) → VT (3/91 détections)clear90489058903-document.workers.dev(domain) → VT (13/91 détections)
🔗 Source originale : https://blog.talosintelligence.com/artoken-inside-an-eviltokens-affiliate-panel-targeting-microsoft-365/