ARToken : analyse d'un panel affilié PhaaS ciblant Microsoft 365 via device code phishing

🔍 Contexte Cisco Talos a publiĂ© le 1er juillet 2026 une analyse technique dĂ©taillĂ©e d’ARToken, un panel de type Phishing-as-a-Service (PhaaS) dĂ©couvert lors d’un engagement de rĂ©ponse Ă  incident. Ce panel partage infrastructure, contrats API et patterns opĂ©rationnels avec la plateforme EvilTokens, documentĂ©e par Sekoia et Microsoft dĂ©but 2026. 🎯 Description de la menace ARToken expose plus de 80 endpoints API permettant Ă  des affiliĂ©s d’effectuer : Device code phishing via l’abus du flux OAuth 2.0 Device Authorization Grant (RFC 8628) Acquisition et persistance de Primary Refresh Token (PRT) survivant aux rĂ©initialisations de mot de passe OpĂ©rations BEC (Business Email Compromise) avec outil intĂ©grĂ© ARTSender Exfiltration SharePoint/OneDrive Surveillance multi-boĂźtes mail par mots-clĂ©s (Box Monitor) Le panel est accessible via un dashboard React (SPA), dont le bundle JavaScript de 1,7 Mo expose l’intĂ©gralitĂ© du code client sans authentification. ...

3 juillet 2026 Â· 3 min

EvilTokens : un toolkit PhaaS exploitant l'OAuth 2.0 pour du phishing de tokens à grande échelle

🔍 Contexte PubliĂ© le 27 mai 2026 par Netcraft (auteure : Ginny Spicer), cet article prĂ©sente une analyse technique d’une vague d’attaques de device code phishing propulsĂ©es par le toolkit EvilTokens, ainsi qu’une campagne connexe baptisĂ©e GhostPairing ciblant les messageries sĂ©curisĂ©es. ⚙ MĂ©canisme d’attaque EvilTokens EvilTokens abuse du flux d’autorisation par code d’appareil OAuth 2.0 : L’attaquant vĂ©rifie l’existence d’un compte cible via l’endpoint GetCredentialType sur login.microsoftonline.com Une lure est envoyĂ©e Ă  la victime contenant une URL ou piĂšce jointe « nĂ©cessitant une authentification » La page malveillante gĂ©nĂšre un device code au moment du chargement (rĂ©initialisant le dĂ©lai d’expiration de 15 minutes de Microsoft) La victime entre le code sur l’URL de vĂ©rification lĂ©gitime (ex. microsoft.com/devicelogin) Le client de l’attaquant, en polling sur l’endpoint token, reçoit des access et refresh tokens lui donnant un accĂšs API persistant sous l’identitĂ© de la victime Le toolkit intĂšgre : copie automatique du code dans le presse-papiers, design responsive pour mobile, mĂ©canisme anti-bot (case Ă  cocher), et des mĂ©canismes anti-analyse (dĂ©sactivation du clic droit, obfuscation JavaScript multi-couches, collecte d’informations via ipinfo.io). ...

1 juin 2026 Â· 4 min

Device Code Lab (DCL) : analyse approfondie d'un kit de phishing OAuth professionnel

🔍 Contexte PubliĂ© le 28 mai 2026 par le chercheur Paul Newton sur son blog de cybersĂ©curitĂ©, cet article constitue une analyse technique approfondie de Device Code Lab (DCL), Ă©galement connu sous le nom AUTHOV, une plateforme de phishing-as-a-service (PhaaS) professionnelle dĂ©couverte lors d’activitĂ©s de threat hunting. L’infrastructure initiale a Ă©tĂ© identifiĂ©e sur l’IP 192.3.225.100 avec le titre de panneau « Device Code Lab ». 🎯 Fonctionnement gĂ©nĂ©ral DCL est une plateforme centralisĂ©e de vol de tokens OAuth exploitant le flux d’authentification Device Code Flow de Microsoft. Elle gĂ©nĂšre des codes de pĂ©riphĂ©rique via l’endpoint /oauth2/v2.0/devicecode, affiche le user_code Ă  la victime via une landing page Cloudflare Workers, puis capture le jeu complet de tokens OAuth (access token ~1h, refresh token ~90 jours) dĂšs que la victime s’authentifie. ...

31 mai 2026 Â· 4 min

Kali365 : le FBI alerte sur une plateforme PhaaS ciblant Microsoft 365 via device code phishing

🔍 Contexte Le 25 mai 2026, BleepingComputer relaie une alerte du FBI concernant la plateforme Kali365, un service de phishing-as-a-service (PhaaS) apparu en avril 2026 et distribuĂ© via Telegram. Cette alerte s’appuie Ă©galement sur des recherches publiĂ©es par Arctic Wolf. ⚙ MĂ©canisme d’attaque Kali365 exploite le flux OAuth 2.0 Device Authorization Grant de Microsoft, conçu Ă  l’origine pour les appareils Ă  capacitĂ©s d’entrĂ©e limitĂ©es (TV connectĂ©es, imprimantes, IoT). Le processus d’attaque se dĂ©roule ainsi : ...

28 mai 2026 Â· 3 min

Phishing par Device Code Authentication via fausse invitation de partage de fichier

🔍 Contexte PubliĂ© le 15 mai 2026 par Truesec sur leur blog Threat Insight, cet article dĂ©crit une tentative de phishing observĂ©e sur un client, exploitant le mĂ©canisme d’authentification Device Code Flow de Microsoft pour dĂ©tourner des sessions utilisateur. 🎣 DĂ©roulement de l’attaque L’attaque se dĂ©roule en plusieurs Ă©tapes : La victime reçoit un email de phishing prĂ©tendant qu’un expĂ©diteur souhaite partager un document. Un bouton « Open » redirige vers un site malveillant imitant une page lĂ©gitime. Le site demande Ă  l’utilisateur de copier un code de vĂ©rification et de le coller sur la page Microsoft Device Auth (microsoft.com/devicelogin). En cliquant sur « Continue to Microsoft », la victime est redirigĂ©e vers une vraie page Microsoft oĂč elle saisit le code et s’authentifie. Ce faisant, la victime autorise involontairement une session contrĂŽlĂ©e par l’attaquant, qui obtient un accĂšs complet au compte Entra ID de la victime. ⚙ MĂ©canisme technique Le Device Code Authentication Flow est un mĂ©canisme OAuth lĂ©gitime conçu pour les appareils sans navigateur (ex : Microsoft Teams Room). L’attaquant initie lui-mĂȘme le flux, gĂ©nĂšre un code, puis manipule la victime pour qu’elle l’entre sur la page officielle Microsoft — transfĂ©rant ainsi le token d’accĂšs Ă  l’attaquant sans que la page finale soit frauduleuse. ...

15 mai 2026 Â· 3 min

Campagne de phishing Microsoft device code à grande échelle exploitant EvilTokens pour contourner le MFA

📰 Source : The Register — Article publiĂ© le 7 avril 2026, basĂ© sur des dĂ©clarations de Tanmay Ganacharya, VP de la recherche en sĂ©curitĂ© chez Microsoft, et un blog technique de Microsoft publiĂ© le 7 avril 2026. Contexte Depuis le 15 mars 2026, une campagne de phishing par device code OAuth 2.0 cible des centaines d’organisations Ă  l’échelle mondiale. Microsoft observe 10 Ă  15 campagnes distinctes lancĂ©es toutes les 24 heures, chacune distribuĂ©e Ă  grande Ă©chelle avec des payloads variĂ©s et uniques, rendant la dĂ©tection par signatures difficile. ...

11 avril 2026 Â· 3 min

EvilTokens : un PhaaS augmenté par IA pour automatiser la fraude BEC via device code phishing

📰 Source : Sekoia TDR (blog.sekoia.io) — Date de publication : 7 avril 2026 (rapport FLINT TLP:AMBER distribuĂ© le 30 mars 2026) Contexte EvilTokens est un kit de Phishing-as-a-Service (PhaaS) apparu depuis mi-fĂ©vrier 2026, spĂ©cialisĂ© dans le device code phishing Microsoft et la fraude BEC (Business Email Compromise). Cet article constitue la partie 2 d’une analyse technique approfondie publiĂ©e par l’équipe TDR de Sekoia. Fonctionnement du PhaaS Le service est opĂ©rĂ© via Telegram par l’administrateur eviltokensadmin, qui propose trois produits : ...

11 avril 2026 Â· 3 min

Montée en puissance du device code phishing en 2026 : analyse des kits et campagnes

đŸ—“ïž Contexte Article publiĂ© le 4 avril 2026 par Luke Jennings sur le blog de Push Security. Il s’agit d’une analyse technique approfondie de la montĂ©e en puissance du device code phishing en 2026, technique exploitant le flux OAuth 2.0 Device Authorization Grant. 📈 Tendance observĂ©e Push Security a observĂ© une augmentation de 37,5x des pages de device code phishing dĂ©tectĂ©es en 2026 par rapport Ă  l’annĂ©e prĂ©cĂ©dente. Dix kits distincts ont Ă©tĂ© identifiĂ©s en circulation, dont le plus prominent est EvilTokens, premier kit PhaaS (Phishing-as-a-Service) criminel dĂ©diĂ© au device code phishing, lancĂ© en fĂ©vrier 2026. ...

4 avril 2026 Â· 4 min

EvilTokens : nouveau kit PhaaS de phishing par device code Microsoft découvert en mars 2026

🔍 Contexte Rapport publiĂ© par Sekoia Threat Detection & Research (TDR) le 30 mars 2026, initialement distribuĂ© en privĂ© le 25 mars 2026. L’analyse porte sur EvilTokens, un nouveau kit de Phishing-as-a-Service (PhaaS) dĂ©couvert en mars 2026 via la surveillance de communautĂ©s cybercriminelles axĂ©es sur le phishing. 🎯 Description de la menace EvilTokens est un kit PhaaS clĂ© en main ciblant Microsoft 365 via la technique de device code phishing, exploitant le flux OAuth 2.0 Device Authorization Grant. Contrairement aux plateformes AitM classiques, EvilTokens incite les victimes Ă  entrer un code utilisateur sur la page lĂ©gitime de Microsoft, permettant Ă  l’attaquant de rĂ©cupĂ©rer des access tokens et refresh tokens valides. ...

30 mars 2026 Â· 5 min
Derniùre mise à jour le: 4 juillet 2026 📝