<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/">
  <channel>
    <title>ARToken on CyberVeille</title>
    <link>https://cyberveille.ch/tags/artoken/</link>
    <description>Recent content in ARToken on CyberVeille</description>
    <generator>Hugo -- 0.146.0</generator>
    <language>fr-fr</language>
    <copyright>Cyberveille CC BY-NC-SA 4.0</copyright>
    <lastBuildDate>Fri, 03 Jul 2026 00:00:00 +0000</lastBuildDate>
    <atom:link href="https://cyberveille.ch/tags/artoken/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>ARToken : analyse d&#39;un panel affilié PhaaS ciblant Microsoft 365 via device code phishing</title>
      <link>https://cyberveille.ch/posts/2026-07-03-artoken-analyse-d-un-panel-affilie-phaas-ciblant-microsoft-365-via-device-code-phishing/</link>
      <pubDate>Fri, 03 Jul 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-07-03-artoken-analyse-d-un-panel-affilie-phaas-ciblant-microsoft-365-via-device-code-phishing/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🔍 Contexte&lt;/h2&gt;
&lt;p&gt;Cisco Talos a publié le 1er juillet 2026 une analyse technique détaillée d&amp;rsquo;&lt;strong&gt;ARToken&lt;/strong&gt;, un panel de type &lt;strong&gt;Phishing-as-a-Service (PhaaS)&lt;/strong&gt; découvert lors d&amp;rsquo;un engagement de réponse à incident. Ce panel partage infrastructure, contrats API et patterns opérationnels avec la plateforme &lt;strong&gt;EvilTokens&lt;/strong&gt;, documentée par Sekoia et Microsoft début 2026.&lt;/p&gt;
&lt;h2 id=&#34;-description-de-la-menace&#34;&gt;🎯 Description de la menace&lt;/h2&gt;
&lt;p&gt;ARToken expose &lt;strong&gt;plus de 80 endpoints API&lt;/strong&gt; permettant à des affiliés d&amp;rsquo;effectuer :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Device code phishing&lt;/strong&gt; via l&amp;rsquo;abus du flux OAuth 2.0 Device Authorization Grant (RFC 8628)&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Acquisition et persistance de Primary Refresh Token (PRT)&lt;/strong&gt; survivant aux réinitialisations de mot de passe&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Opérations BEC&lt;/strong&gt; (Business Email Compromise) avec outil intégré ARTSender&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Exfiltration SharePoint/OneDrive&lt;/strong&gt;&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Surveillance multi-boîtes mail&lt;/strong&gt; par mots-clés (Box Monitor)&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Le panel est accessible via un dashboard React (SPA), dont le bundle JavaScript de 1,7 Mo expose l&amp;rsquo;intégralité du code client sans authentification.&lt;/p&gt;</description>
    </item>
  </channel>
</rss>
