ARToken : analyse d'un panel affilié PhaaS ciblant Microsoft 365 via device code phishing
🔍 Contexte Cisco Talos a publié le 1er juillet 2026 une analyse technique détaillée d’ARToken, un panel de type Phishing-as-a-Service (PhaaS) découvert lors d’un engagement de réponse à incident. Ce panel partage infrastructure, contrats API et patterns opérationnels avec la plateforme EvilTokens, documentée par Sekoia et Microsoft début 2026. 🎯 Description de la menace ARToken expose plus de 80 endpoints API permettant à des affiliés d’effectuer : Device code phishing via l’abus du flux OAuth 2.0 Device Authorization Grant (RFC 8628) Acquisition et persistance de Primary Refresh Token (PRT) survivant aux réinitialisations de mot de passe Opérations BEC (Business Email Compromise) avec outil intégré ARTSender Exfiltration SharePoint/OneDrive Surveillance multi-boîtes mail par mots-clés (Box Monitor) Le panel est accessible via un dashboard React (SPA), dont le bundle JavaScript de 1,7 Mo expose l’intégralité du code client sans authentification. ...