ARToken : analyse d'un panel affilié PhaaS ciblant Microsoft 365 via device code phishing

🔍 Contexte Cisco Talos a publié le 1er juillet 2026 une analyse technique détaillée d’ARToken, un panel de type Phishing-as-a-Service (PhaaS) découvert lors d’un engagement de réponse à incident. Ce panel partage infrastructure, contrats API et patterns opérationnels avec la plateforme EvilTokens, documentée par Sekoia et Microsoft début 2026. 🎯 Description de la menace ARToken expose plus de 80 endpoints API permettant à des affiliés d’effectuer : Device code phishing via l’abus du flux OAuth 2.0 Device Authorization Grant (RFC 8628) Acquisition et persistance de Primary Refresh Token (PRT) survivant aux réinitialisations de mot de passe Opérations BEC (Business Email Compromise) avec outil intégré ARTSender Exfiltration SharePoint/OneDrive Surveillance multi-boîtes mail par mots-clés (Box Monitor) Le panel est accessible via un dashboard React (SPA), dont le bundle JavaScript de 1,7 Mo expose l’intégralité du code client sans authentification. ...

3 juillet 2026 · 3 min

Device Code Lab (DCL) : analyse approfondie d'un kit de phishing OAuth professionnel

🔍 Contexte Publié le 28 mai 2026 par le chercheur Paul Newton sur son blog de cybersécurité, cet article constitue une analyse technique approfondie de Device Code Lab (DCL), également connu sous le nom AUTHOV, une plateforme de phishing-as-a-service (PhaaS) professionnelle découverte lors d’activités de threat hunting. L’infrastructure initiale a été identifiée sur l’IP 192.3.225.100 avec le titre de panneau « Device Code Lab ». 🎯 Fonctionnement général DCL est une plateforme centralisée de vol de tokens OAuth exploitant le flux d’authentification Device Code Flow de Microsoft. Elle génère des codes de périphérique via l’endpoint /oauth2/v2.0/devicecode, affiche le user_code à la victime via une landing page Cloudflare Workers, puis capture le jeu complet de tokens OAuth (access token ~1h, refresh token ~90 jours) dès que la victime s’authentifie. ...

31 mai 2026 · 4 min
Dernière mise à jour le: 18 juillet 2026 📝