Des del febrer de 2026, una plataforma de phishing com a servei anomenada EvilTokens porta comprometent silenciosament organitzacions de Microsoft 365 a tot el món. La seva particularitat és radical: no roba contrasenyes, no activa cap alerta de MFA i no fa servir pàgines d’inici de sessió falses. Tot ocorre en infraestructura real de Microsoft. La víctima completa el seu propi procés d’autenticació multifactor a la pàgina legítima de Microsoft i, sense saber-ho, entrega a l’atacant un token OAuth vàlid amb accés persistent al seu correu electrònic, OneDrive, SharePoint, Teams, contactes i calendari. The Hacker News ho amplifica avui amb l’anàlisi completa de Bolster AI. És l’amenaça d’identitat més significativa de 2026 per a les organitzacions que fan servir Microsoft 365 — i això és pràcticament tothom.

Què és EvilTokens i què ha passat?

  • Primera activitat observada: 15-19 de febrer de 2026. Huntress va detectar els primers casos actius el 19 de febrer.
  • Escala en 5 setmanes: en menys de cinc setmanes des del seu llançament, EvilTokens havia comprometès més de 340 organitzacions de Microsoft 365 en set països: els Estats Units, el Canadà, França, Austràlia, Índia, Suïssa i els Emirats Àrabs Units.
  • Sectors afectats: finances, RRHH, logística, vendes, sanitat, serveis legals, administració local, construcció, ONGs, immobiliari i manufactura.
  • Model de negoci criminal: PhaaS distribuït via Telegram amb plans des de 299 fins a 499 dòlars al mes en criptomoneda. Suport 24/7.
  • Origen tècnic: abusa del flux d’autorització OAuth 2.0 Device Code, un mecanisme legítim de Microsoft dissenyat perquè dispositius sense teclat puguin autenticar-se a Microsoft 365.
  • El token no s’invalida amb un canvi de contrasenya: els refresh tokens que EvilTokens emet sobreviuen a resets de contrasenya i romanen vàlids durant setmanes o mesos. Només la revocació explícita tanca l’accés.
  • Antecedent estatal: el flux Device Code Phishing va ser utilitzat prèviament per grups d’Estat com Storm-2372 i APT29. EvilTokens és la comercialització d’aquesta tècnica.

Per què Microsoft 365 és l’objectiu més valuació per a aquest tipus d’atac

  1. Superfície d’impacte màxima amb un sol compte. Un token OAuth de Microsoft 365 vàlid dóna accés a correu, fitxers corporatius, comunicacions internes, agenda i directori de contactes.
  2. La confiança de l’usuari en microsoft.com és el vector. EvilTokens no necessita que la víctima visiti una URL falsa. La instrucció és anar a microsoft.com/devicelogin — una URL 100% legítima i verificada.
  3. El MFA complet no protegeix. La víctima completa el seu factor d’autenticació addicional a la pàgina real de Microsoft. El problema és que el resultat — el token — va a l’atacant.
  4. L’accés és persistent i silenciós. Amb el refresh token, l’atacant pot operar durant setmanes o mesos sense generar events d’inici de sessió sospitosos.

Com funciona l’atac: la trampa del Device Code Flow

  1. L’atacant inicia la sol·licitud d’autorització. Obté un device code real i un user code de l’API de Microsoft.
  2. L’esquer arriba a la víctima. Un correu creible (factura, document compartit, nòmina, DocuSign) mostra el user code amb un botó “Continuar amb Microsoft”.
  3. La víctima completa el MFA a Microsoft real. Va a microsoft.com/devicelogin, introdueix el codi i completa el seu MFA habitual. Des de la seva perspectiva, tot és normal.
  4. Microsoft lliura els tokens a l’atacant. Microsoft emet un access token i un refresh token vàlids — i els lliura a la sessió de l’atacant.
  5. Accés persistent establert. L’atacant pot llegir i enviar correus com la víctima, accedir a OneDrive i SharePoint, participar a Teams. El token sobreviu al canvi de contrasenya.
  6. Escalada opcional. L’atacant pot registrar un nou dispositiu a Entra ID i obtenir un Primary Refresh Token (PRT) per a accés silenciós permanent.
  7. Post-comproms: BEC i moviment lateral. EvilTokens inclou una interfície de webmail integrada per operar directament des del bustí comprometès.

Lliçons clau i checklist de mitigació per a responsables IT i CISOs

Mitigació immediata — Bloquejar el Device Code Flow:

  • A Microsoft Entra ID → Security → Conditional Access: crear una política que bloquegi les sol·licituds d’autenticació de tipus Device Code per a tots els usuaris que no necessitin autenticar dispositius sense teclat. És la mitigació més eficaç disponible avui.

Detecció — Monitoritzar Entra ID:

  • A Entra ID → Monitoring → Sign-in logs: cercar autenticacions amb el mètode Device code flow des d’IPs o ubicacions inusuals.
  • Configurar alertes al SIEM per als events “Suspicious Azure authentication through possible device code phishing” i “User account compromise via OAuth device code phishing”.
  • Revisar l’historial d’autoritzacions OAuth actives al tenant. Qualsevol aplicació no reconeguda pels usuaris s’ha d’investigar i revocar.

Resposta davant comproms sospitosi:

  • El canvi de contrasenya NO invalida el refresh token. La única forma de tancar l’accés és la revocació explícita: Entra ID → Users → [Usuari] → Revoke sessions.
  • Auditar immediatament les regles de bústia de l’usuari comprometès per detectar forwarding no autoritzat a comptes externs.

MFA resistant al phishing:

  • Les solucions TOTP i els SMS no protegeixen contra el Device Code Phishing. Només els mètodes de MFA resistents al phishing — FIDO2/passkeys, certificats basats en maquinari — prevenen completament aquest atac.

Conscienciació dels empleats:

  • Formar els empleats perquè rebutgin qualsevol petició d’introduir un codi de verificació a microsoft.com/devicelogin que ells no hagin iniciat activament.

La ciberseguretat com a prioritat estratègica

EvilTokens confirma la tendència més important en atacs d’identitat el 2026: els atacants ja no trenquen l’autenticació, la redirigeixen. El MFA segueix sent una capa de defensa necessaris per a la majoria d’amenaces, però ja no és suficient sense controls sobre el flux d’autorització OAuth i monitoratge actiu del que passa després del login.

Apolo Cybersecurity: protecció d’identitats i accessos en entorns Microsoft 365

A Apolo Cybersecurity ajudem organitzacions a tancar els vectors d’atac basats en identitat que EvilTokens i tècniques similars exploten: auditoria i hardening de polítiques de Conditional Access a Microsoft Entra ID, implementació de MFA resistant al phishing (FIDO2/passkeys), monitoratge de flows OAuth i tokens, detecció d’activitat post-comproms i plans de resposta que inclouen la revocació correcta de tokens compromesos.

Si la teva organització fa servir Microsoft 365 i no has comprovat si el Device Code Flow està bloquejat al teu Conditional Access, aquest dimecres al matí és el moment de verificar-ho.

__wf_reserved_inherit
Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity