AITM

🌐 Contexte Cet article est publié le 24 mars 2026 par CrowdStrike sur son blog officiel. Il analyse l’impact de l’opération de démantèlement de Tycoon2FA, une plateforme Phishing-as-a-Service (PhaaS) par abonnement, annoncée par Europol le 4 mars 2026. 🎯 Description de la menace Tycoon2FA est opérationnelle depuis 2023. Elle fournit un kit de phishing basé sur des techniques adversary-in-the-middle (AITM) permettant de contourner l’authentification multifacteur (MFA). En mi-2025, elle était responsable de 62% de toutes les tentatives de phishing bloquées par Microsoft et aurait généré plus de 30 millions d’emails malveillants en un seul mois. ...

Source et contexte: Microsoft Threat Intelligence (microsoft.com) publie une analyse technique approfondie de Tycoon2FA, un kit de phishing‑as‑a‑service (PhaaS) opéré par l’acteur Storm‑1747, apparu en août 2023 et utilisé dans des campagnes diffusant des dizaines de millions de messages chaque mois vers plus de 500 000 organisations. • Portée et capacités: Tycoon2FA fournit des fonctions Adversary‑in‑the‑Middle (AiTM) permettant de bypasser la MFA en interceptant les identifiants et cookies de session lors de l’authentification, puis en relayant les codes MFA via des proxys. Il mime des pages de connexion de Microsoft 365, Outlook, OneDrive, SharePoint, Gmail, etc., et peut maintenir l’accès même après un reset de mot de passe si les sessions/tokens ne sont pas révoqués. ...

Source: Microsoft Defender Security Research Team. Contexte: les chercheurs détaillent une campagne multi-étapes d’AiTM phishing évoluant vers des activités de BEC contre plusieurs organisations du secteur de l’énergie, abusant de SharePoint pour la livraison et s’appuyant sur des règles de messagerie pour la persistance et l’évasion. Résumé opérationnel: Les attaquants ont initialement exploité une identité de tiers de confiance compromise pour envoyer un lien SharePoint légitime nécessitant authentification, mimant les workflows de partage SharePoint. Après clic, la chaîne a inclus une attaque AiTM (vol/usage de cookies de session) et la création de règles supprimant et marquant comme lus les emails entrants, afin de masquer l’activité. Les comptes compromis ont servi à une campagne de phishing à grande échelle (>600 emails) vers contacts internes/externes et listes de distribution, sélectionnés depuis les fils récents. Les opérateurs ont ensuite mené des tactiques BEC: surveillance des NDR/OOO, suppression des traces, réponses rassurantes aux doutes, puis poursuite des compromissions en chaîne via de nouveaux clics. Détections et réponses Microsoft Defender XDR: ...

Selon CYFIRMA (publication du 16 janvier 2026), Mamba 2FA s’inscrit dans une classe de kits de phishing adversary‑in‑the‑middle (AiTM) devenue dominante dans les environnements cloud. L’outil privilégie réalisme, automatisation et échelle, en émulant fidèlement les flux d’authentification Microsoft 365, en gérant les sessions en temps quasi réel et en réduisant l’interaction utilisateur, afin de bypasser la MFA et d’industrialiser les campagnes au sein de l’écosystème PhaaS. Flux opérationnel observé et livraison: ...

Selon Socket (Socket Threat Research Team), une opération de spearphishing ciblée et soutenue a détourné le registre npm comme couche d’hébergement et de distribution pendant au moins cinq mois, avec 27 paquets malveillants publiés sous six alias, visant des personnels commerciaux de secteurs industriels et santé aux États-Unis et dans des pays alliés. — Portée et objectifs. La campagne cible des individus spécifiques (25 identités) dans des fonctions commerciales (vente, account management, business dev.) de secteurs adjacents aux infrastructures critiques (manufacturing, automatisation industrielle, plasturgie, santé/pharma). Les leurres imitent des portails de partage de documents et des pages de connexion Microsoft pour la capture d’identifiants. ...

Source: Sekoia TDR (Sekoia.io). En mai-juin 2025, l’équipe TDR a été contactée par deux organisations — dont Reporters Sans Frontières (RSF) — au sujet d’une campagne de spear‑phishing attribuée à l’intrusion set Calisto (ColdRiver/Star Blizzard), rattaché au FSB (TsIB, unité 64829). Sekoia.io confirme la cohérence de l’attribution avec les intérêts stratégiques russes. 🧭 Ciblage et mode opératoire. Les campagnes de Calisto visent principalement l’espionnage contre des entités occidentales soutenant l’Ukraine (militaire, think tanks, ONG). Le groupe usurpe des contacts de confiance depuis des adresses ProtonMail et envoie des emails sans pièce jointe ou avec un lien PDF inactif pour inciter la victime à demander un renvoi. Le suivi contient soit un lien menant à un redirecteur sur site compromis puis à ProtonDrive (PDF malveillant présumé), soit un faux PDF (en réalité un ZIP renommé .pdf) qui agit comme leurre. Les PDFs factices affichent un message d’encryptage et redirigent vers ProtonDrive via un redirecteur puis un kit de phishing. ...

Contexte: sicuranext.com (Claudio Bono) publie une analyse CTI basée sur un pipeline d’intelligence temps réel (SSL/TLS et centaines de sources), couvrant le dernier trimestre avec 42 000+ URLs et domaines actifs liés à des kits de phishing, C2 et livraison de payloads. 🔎 Infrastructures et hébergement 68% de l’infrastructure de phishing observée se trouve derrière Cloudflare (AS13335), devant GCP (13,5%), AWS (8,6%) et Azure (5,4%). Sur 12 635 IPs uniques, 51,54% sont en hébergement direct (infrastructures jetables), 48,46% protégées par CDN/proxy (dont 92% via Cloudflare), rendant le blocage IP largement inefficace sur près de la moitié du paysage. Fiabilité opérationnelle élevée: 96,16% de taux moyen de résolution DNS. 🕸️ Abus de confiance et TLDs utilisés ...

Selon Push Security (billet de blog signé par Dan Green), l’éditeur a détecté et bloqué une campagne de phishing sophistiquée livrée via LinkedIn, conçue pour échapper aux contrôles traditionnels et voler des sessions Microsoft via une page d’hameçonnage en Adversary-in-the-Middle (AITM). • Chaîne d’attaque: un lien malveillant envoyé en DM LinkedIn provoque une série de redirections (dont Google Search puis payrails-canaccord[.]icu) avant d’aboutir sur une landing page personnalisée hébergée sur firebasestorage.googleapis[.]com. L’utilisateur est invité à « view with Microsoft », puis doit passer un challenge Cloudflare Turnstile sur login.kggpho[.]icu; la page de phishing qui imite Microsoft est alors servie. La saisie des identifiants et la validation MFA conduisent au vol de session par l’attaquant. ...

Selon Intel 471, des acteurs malveillants ont perfectionné des techniques pour contourner la multifactor authentication (MFA), avec des groupes tels que LAPSUS$ et Scattered Spider exploitant ces approches pour la prise de contrôle de comptes et l’accès initial. Principales méthodes décrites: 🎣 Phishing + rejeu d’identifiants/MFA (campagnes type 0ktapus) via de faux portails pour capturer identifiants et codes MFA puis les rejouer immédiatement. 📲 SIM swapping pour détourner les codes SMS vers un appareil contrôlé par l’attaquant. 🔔 MFA fatigue / push bombing en inondant l’utilisateur de notifications push pour obtenir une approbation par lassitude. 🧪 Adversary-in-the-middle (AITM) avec proxy inversé (ex. Evilginx2) afin de voler tokens/cookies de session. 🔑 Vol de tokens OAuth (bearer) permettant un accès non autorisé sans mot de passe. Mesures de défense mises en avant: ...

Selon PIXM Security (Chris Cleveland), ce rapport couvre une montée marquée des campagnes de phishing mi-fin septembre, avec une vague notable hébergée sur l’infrastructure Backblaze, l’emploi de kits Attack-in-the-Middle (AiTM) pour voler les codes MFA et cookies de session, et une hausse des scarewares Microsoft et des leurres visant des comptes personnels (American Express, Netflix). Le 23 septembre, des pages hébergées sur des domaines Backblaze B2 ont été cliquées par 10 utilisateurs dans une demi-douzaine d’organisations au Kentucky et au Minnesota. Les identifiants étaient exfiltrés via l’API Bot de Telegram. Les leurres renvoyaient à des fichiers OneDrive et évoquaient des bons de commande (achats), ciblant probablement les équipes de procurement. ...