📰 Source : BleepingComputer — Date de publication : 3 juillet 2026 — Contexte : Découverte par Cisco Talos lors d’un engagement de réponse à incident.
🎯 Présentation de la menace
Cisco Talos a identifié ARToken, une plateforme de Phishing-as-a-Service (PhaaS) présentant de fortes similarités techniques avec EvilTokens, une plateforme commerciale de phishing documentée par Sekoia en mars 2026. ARToken opère comme affilié d’EvilTokens et expose un panneau de gestion basé sur React avec plus de 80 endpoints API.
🔧 Capacités techniques
L’ingénierie inverse du code JavaScript côté client a révélé les fonctionnalités suivantes :
- Vol de tokens d’authentification Microsoft 365
- Élévation vers des Primary Refresh Tokens (PRT) pour un accès persistant
- Accès complet aux boîtes Outlook, sites SharePoint et fichiers OneDrive
- Déploiement d’infrastructure de phishing via Cloudflare Workers
- Automatisation des opérations de Business Email Compromise (BEC)
- Surveillance simultanée de plusieurs boîtes compromises par mots-clés
- Création de règles de boîte de réception pour masquer ou supprimer des messages
- Pages de phishing à contenu dynamique selon la localisation de la victime
- Chargement de tokens volés depuis des sources externes et partage d’accès
🔗 Liens avec EvilTokens
Les similarités techniques identifiées incluent :
- Mêmes appels API pour le flux OAuth 2.0 Device Authorization Grant (
POST /api/device/start) - Mêmes endpoints PRT documentés par Sekoia
- Même modèle de déploiement via Cloudflare Workers
- Architecture multi-tenant avec espaces de travail dédiés par affilié
⚙️ Mécanisme d’attaque (Device Code Phishing)
Les victimes sont incitées à saisir un code de périphérique légitime émis par Microsoft sur la page officielle de connexion Microsoft, ce qui entraîne l’émission des tokens d’authentification directement vers l’attaquant. Cette technique contourne le MFA car l’authentification s’effectue via l’infrastructure légitime de Microsoft.
📧 Vecteur initial
Les emails de phishing analysés usurpent l’identité de fournisseurs légitimes avec des leurres à thème de facturation ciblant les employés de la comptabilité fournisseurs. Les liens affichent une adresse SharePoint apparemment légitime tout en redirigeant vers un tenant Microsoft 365 contrôlé par l’attaquant.
📊 Contexte de la menace
EvilTokens est vendu à un tarif de 1 500 $ de frais d’installation et 500 $/mois d’abonnement. La plateforme intègre un workflow piloté par IA/LLM pour scorer l’exposition financière des boîtes compromises et automatiser la rédaction de campagnes BEC. Push Security a rapporté en avril une augmentation de 3 700 % des attaques par device code phishing sur un an, avec au moins 11 kits de phishing proposant cette technique.
📌 Type d’article : Publication de recherche technique — but principal : documenter les capacités et l’infrastructure d’une plateforme PhaaS affiliée à EvilTokens à des fins de threat intelligence.
🧠 TTPs et IOCs détectés
TTP
- T1566 — Phishing (Initial Access)
- T1528 — Steal Application Access Token (Credential Access)
- T1550.001 — Use Alternate Authentication Material: Application Access Token (Defense Evasion)
- T1114.002 — Email Collection: Remote Email Collection (Collection)
- T1564.008 — Hide Artifacts: Email Hiding Rules (Defense Evasion)
- T1567 — Exfiltration Over Web Service (Exfiltration)
- T1534 — Internal Spearphishing (Lateral Movement)
- T1078 — Valid Accounts (Defense Evasion)
Malware / Outils
- ARToken (other)
- EvilTokens (other)
🟡 Indice de vérification factuelle : 50/100 (moyenne)
- ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
- ✅ 6111 chars — texte complet (15pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ✅ 8 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://www.bleepingcomputer.com/news/security/artoken-phaas-exposes-eviltokens-microsoft-365-phishing-toolkit/