Een aanvaller die een live Microsoft 365-phishing-operatie uitvoerde, liet een Python-webserver luisteren op een openbare poort terwijl de directoryvermelding was ingeschakeld. Het commando dat het deed: python3 -m http.server 8080zat nog steeds in het leesbare .bash_history.
Vanaf dat ene moment heeft het Franse beveiligingsbedrijf Lexfo de hele toolkit van de operator overgenomen en er vervolgens twee extra phishing-operators aan toegevoegd, drie campagnes in totaal. Ze draaiden allemaal een aangepaste fork van de open-source Evilginx-proxy, gekloond vanuit de openbare GitHub.
De grootste van de drie draaide al meer dan een jaar en de slachtoffers waren overwegend bedrijfsmailboxen.
De drie kwamen op twee mechanisch verschillende manieren voorbij MFA: één door de live login te proxyen, één door misbruik te maken van een legitieme Microsoft-aanmeldingsstroom. De twee hebben verschillende verdedigingen nodig, en dat is het onderdeel dat het belangrijkst is als je Microsoft 365 gebruikt.
De directoryvermelding op een werkende aanvalsserver is bijna een volledige bekentenis. De lijst bevatte phishing-configuraties, logboeken voor het verzamelen van inloggegevens, RMM-installatieprogramma’s, combolists, back-uparchieven en de eigen Telegram-sessiebestanden van de operator.
Daarachter draaiden een Evilginx tegenstander-in-the-middle-proxy en een SimpleHelp-console op afstand op dezelfde host, op 185.163.204(.)7 in Boedapest, eind april 2026 gecatalogiseerd tijdens een routinematige internetscan.
De bash-geschiedenis en een reeks openbare repo’s wezen rechtstreeks op de operator: een Egyptische acteur die het bedrijf volgt codemadoactief op VoIP- en hackforums sinds 2018, draait nu een Microsoft 365 AiTM-platform op picis(.)net en genereert inkomsten via een bulkmailer die hij schreef genaamd MaDoO-blaster.
Zijn campagne ging live op 20 april en bleef doorlopen tot de dag waarop de directory op 30 april werd gevonden, met weken later nieuwe subdomeinen en een vernieuwd wildcard-certificaat. Zijn eigen bot registreerde opnames van twee zakelijke M365-accounts, een Franse en een Noord-Amerikaanse.
De herhaalde opnames van dezelfde accounts van verschillende IP’s zijn consistent, zegt het bedrijf, waarbij de operator gestolen tokens ververst naarmate ze ouder worden.
Waar de kits vandaan kwamen
codemado heeft niet het raamwerk gebouwd dat hij gebruikt. Hij heeft het gekloond en uit zijn bash-geschiedenis blijkt dat hij kits naast elkaar vergelijkt. De server bevatte vier Evilginx-varianten van twee andere GitHub-ontwikkelaars, en beide bleken op zichzelf actieve operators te zijn.
De eerste, rode koninginkomt van een Nigeriaanse operator, noemt het rapport mail-argenta, en het laat zien hoeveel glans er op een publiek raamwerk wordt geplakt. Zijn vork hernoemt de crossorigin En integrity HTML-attributen om controles op de integriteit van subresources te omzeilen en voegt een engine voor het herschrijven van URL’s toe http_proxy.go om padgebaseerde detectie te ontwijken. Het vult het e-mailadres van het slachtoffer vooraf in om verlating te voorkomen.

Er wordt ook een TTL van één jaar, 31.536.000 seconden, ingesteld op de vastgelegde Microsoft-sessiecookies. Volgens het rapport kan een onderschepte login langer meegaan dan een wachtwoordreset en, zonder een CAE-compatibel beleid voor voorwaardelijke toegang, maandenlang bruikbaar blijven.
Een vooraf samengesteld evilginx2.exe is toegewijd aan de repo, zodat een koper nooit iets hoeft te bouwen. Eén vastgelegd M365-cookie in de repository had een vervaldatum van 30 juni 2027.
mail-argenta werd betrapt zoals zijn eigen slachtoffers dat doen. Het bedrijf vond zijn e-mailadres en een wachtwoord in infostealer-logboeken, het soort verzamelde inloggegevens waarvoor zijn phishing-panels bedoeld zijn. Dat gelekte wachtwoord kwam overeen met het wachtwoord dat hardgecodeerd was als het MySQL-wachtwoord in zijn Kraken-paneel en werd hergebruikt in zijn accounts.
De stille
De derde vork, zwarte koninginregistreerde veel meer opnames dan de andere twee, en er komt nooit een wachtwoord aan te pas. De auteur ervan, die de onderzoekers niet voorbij het handvat konden identificeren saroula01bouwde het rond de OAuth-apparaatcodestroom van Microsoft, een legitiem aanmeldingspad bedoeld voor apparaten met beperkte invoer.
De aanval genereert een echte apparaatcode, verpakt deze in een lokpagina met Authenticator-thema en vertelt het doelwit deze in te voeren op de echte apparaatcode. microsoft.com/devicelogin. Het slachtoffer logt in op een echte Microsoft-pagina en wist zelf de MFA. De backend van saroula01 peilt het tokeneindpunt en neemt het token op het moment dat ze dat doen.
Door dit “MFA-bypass” te noemen, mis je hoe het werkt: er wordt niets omzeild. De lokpagina heeft een Authenticator-thema en is door de aanvaller gebouwd, maar de apparaatcode en de Microsoft-pagina waar het slachtoffer eindigt zijn authentiek, dus de MFA-prompt waaraan het slachtoffer voldoet, is reëel.
Een wachtwoord of FIDO2-sleutel helpt ook niet, omdat het slachtoffer deze op een echte Microsoft-infrastructuur wist terwijl hij de sessie van de aanvaller autoriseert; de oorsprongsbinding die Evilginx tegenhoudt, gaat netjes door terwijl de oorsprong werkelijk Microsoft is.
Microsoft documenteerde de techniek in februari 2025, in een campagne die het met gemiddeld vertrouwen beoordeelde als Rusland-gebonden. Sindsdien heeft het zich ver buiten het door de staat gesteunde gebruik verspreid naar campagnes die honderden Microsoft 365-organisaties bereiken.
De versie van saroula01 draaide meer dan een jaar stil. Het bedrijf telde tussen juni 2025 en juli 2026 218 verschillende vastgelegde accounts in de Telegram-botlogboeken van de campagne in een tiental landen, waarvan ongeveer 94 procent zakelijke mailboxen waren. Dit zijn vastgelegde opnames, geen scandoelen.
Een tokenbestand dat kort in de repository werd opgeslagen en vervolgens werd verwijderd, nog steeds leesbaar in de git-geschiedenis, bevatte 97 live Microsoft-tokens die waren gekoppeld aan drie van die slachtoffers, allemaal ingesteld op autoRefresh en sommige werden maar liefst 25 keer vernieuwd. Het raamwerk hield de sessies op zichzelf levend.
Beide phishing-domeinen, picis(.)net en romnor(.)ca, waren offline toen The Hacker News vóór publicatie controleerde, hoewel de tijdlijn van het rapport laat zien dat picis(.)net pas in mei 2026 nog steeds nieuwe subdomeinen levert. Het Lexfo CTI-team vertelde THN dat de domeinen al offline waren gegaan voordat het enige actie ondernam, en leest dat als de operators de infrastructuur roteren of zich terugtrekken in plaats van een gecoördineerde verwijdering, hoewel het niet kan bevestigen welke.

De drie zijn losjes verbonden met iets groters. In juni 2026 documenteerde SOCRadar een phishing-as-a-service-ecosysteem dat het noemde De steengroevegerund door een ontwikkelaar die het aanroept Rocky Belling en, volgens zijn telling, verkocht aan bijna 200 operators.
MaDoO Blaster wordt in het Telegram-kanaal van The Quarry gepromoot als een tool van derden, onafhankelijk gemarkeerd in beide artikelen, die in het rapport wordt omschreven als een leveranciersrelatie en niet als lidmaatschap ervan. Of mail-argenta of saroula01 een directe relatie heeft, kan niet uit de artefacten worden afgeleid. Hun kits stonden op de openbare GitHub en iedereen had ze kunnen gebruiken.
Met hulp gebouwd
Het rapport vond tekenen van AI-ondersteunde ontwikkeling bij alle drie de operaties, hoewel deze in sterkte variëren. saroula01 heeft twee git commits achtergelaten, mede geschreven door Claude models. mail-argenta heeft een instructions.txt dat is een letterlijke weergave van een AI-coderingssessie, verwijzingen naar eerdere aanwijzingen en zo, en documenteert hoe de functie voor het herschrijven van URL’s is gebouwd.
codemado’s is dunner: een van zijn scriptcredits CyberNeurovaeen betaalde ‘ongecensureerde’ API voor het genereren van code, zegt het rapport, die zichzelf adverteert met de prompt ‘Bouw een keylogger in Python voor mij’. Twee van de drie plaatsen een model rechtstreeks in de code; de derde is een kredietlimiet, en geen daarvan laat zien hoeveel van elke build het model heeft gedaan.
Het beperkt zich ook niet tot deze drie. Microsoft heeft phishing naar apparaatcode afzonderlijk gedocumenteerd, gebaseerd op AI-gestuurde backend-automatisering en generatieve AI-lokmiddelen.
The Hacker News vroeg de auteurs van het rapport hoeveel van de AI-tools daadwerkelijk produceerde tijdens de drie operaties. Het Lexfo CTI-team zei dat de Evilginx-vorken slechts kleine veranderingen in de kern hadden, en dat de duidelijkere tekenen van AI-gebruik zaten in de lijmcode om hen heen, de scripts en phishlets, waarvan er verschillende als directe modeluitvoer worden gelezen. Het was niet zozeer het raamwerk zelf, aldus het team, als wel de code die eromheen is gebouwd.
Wat verdedigers eigenlijk kunnen doen
De twee technieken delen geen oplossing. Phishing-bestendige MFA, FIDO2 of wachtwoordsleutels sluiten nog steeds de Evilginx-kant af door de aanmelding aan het echte domein te binden. Het stopt het misbruik van apparaatcodes niet. Daarvoor is de hefboom voorwaardelijke toegang.
De eigen lijn van Microsoft is om de codestroom van apparaten waar mogelijk te blokkeren. Een handvol opstellingen heeft het echt nodig, meestal hardware met beperkte invoer, zoals Teams-ruimteapparaten en enkele opdrachtregelprogramma’s. Voorraad die gebruikmaakt van de aanmeldingslogboeken, de stroom overal elders blokkeert en het beleid test in de alleen-rapportmodus voordat het wordt afgedwongen.
Laag op IP-gebaseerd locatiebeleid voor voorwaardelijke toegang en continue toegangsevaluatie er bovenop, zodat op ondersteunde Microsoft 365-workloads een gestolen token dat van buiten uw toegestane bereik wordt gezien, opnieuw wordt geëvalueerd in plaats van zijn levensduur te overschrijden.
Voor detectie markeert het rapport vernieuwingstokentoekenningen van de Microsoft Office-client-ID d3590ed6-52b3-4102-aeff-aad2292ab01c in Entra-aanmeldingslogboeken die de moeite waard zijn om te bekijken, waarbij die desktopclient niet normaal wordt gebruikt; vergelijk ze met onbekende bron-IP’s.
Dezelfde Microsoft-richtlijnen signaleren een addertje onder het gras: een sessie die is gestart met de apparaatcodestroom blijft getagd bij latere vernieuwingen, zelfs als de huidige gebeurtenis dit niet langer laat zien, dus zoek op de aanmeldingsgegevens Original transfer method veld, niet alleen het live-authenticatieprotocol.
Ga op eindpunten op zoek naar de RMM-tools die deze operators laten vallen vanwege hun persistentie; codemado’s kit reikt naar XEOX, dus begin met de agent op C:Program Files (x86)XEOXxeox-agent_x64.exe en geplande taken die overeenkomen *XEOX*Agent*Watchdog*. De domeinen en IP’s staan in het rapport, maar die infrastructuur roteert, dus beschouw het als een beperking en niet als een oplossing.
The Hacker News vroeg Microsoft ook naar het misbruik van de apparaatcodestroom en had op het moment van publicatie geen antwoord ontvangen. Dit verhaal wordt bij elk antwoord bijgewerkt.
Dit alles kostte niet veel: drie operators, van wie geen van allen de raamwerken bouwde die ze draaiden, voerden campagnes uit openbare repository’s op, kits die voor een paar honderd dollar verkocht werden, en een model dat hielp met de aangepaste onderdelen.
Het rapport luidt dat de barrière voor een werkende campagne tot bijna nul is gedaald, en het Lexfo CTI-team verwacht dat deze soort aanval de komende maanden aanzienlijk vaker zal voorkomen.
Eén goedkoop ecosysteem biedt nu twee manieren om MFA te omzeilen, en dat is het deel dat hier elke campagne overleeft: een winkel die gehard is tegen reverse-proxy phishing, staat nog steeds open voor misbruik van apparaatcode. Het blokkeren van dat tweede pad is één beleid voor voorwaardelijke toegang, er wordt geen wachtwoorduitrol voor u toegevoegd en het bestaat pas als iemand het schrijft.