ARToken : analyse d'un panel affilié PhaaS ciblant Microsoft 365 via device code phishing
đ Contexte Cisco Talos a publiĂ© le 1er juillet 2026 une analyse technique dĂ©taillĂ©e dâARToken, un panel de type Phishing-as-a-Service (PhaaS) dĂ©couvert lors dâun engagement de rĂ©ponse Ă incident. Ce panel partage infrastructure, contrats API et patterns opĂ©rationnels avec la plateforme EvilTokens, documentĂ©e par Sekoia et Microsoft dĂ©but 2026. đŻ Description de la menace ARToken expose plus de 80 endpoints API permettant Ă des affiliĂ©s dâeffectuer : Device code phishing via lâabus du flux OAuth 2.0 Device Authorization Grant (RFC 8628) Acquisition et persistance de Primary Refresh Token (PRT) survivant aux rĂ©initialisations de mot de passe OpĂ©rations BEC (Business Email Compromise) avec outil intĂ©grĂ© ARTSender Exfiltration SharePoint/OneDrive Surveillance multi-boĂźtes mail par mots-clĂ©s (Box Monitor) Le panel est accessible via un dashboard React (SPA), dont le bundle JavaScript de 1,7 Mo expose lâintĂ©gralitĂ© du code client sans authentification. ...