Fermer Le Menu
    Facebook X (Twitter) Instagram
    Learnup
    • Tech
    • B2B
    • Marketing
    • Actu
    • Divertissement
    Learnup
    La maison»Technologie»Phishing : 218 comptes Microsoft piratés via serveur ouvert
    Technologie

    Phishing : 218 comptes Microsoft piratés via serveur ouvert

    Fabien DouéPar Fabien Doué14 juillet 2026Aucun commentaire4 Minutes de Lecture
    Facebook Twitter Pinterest LinkedIn Tumblr E-mail
    Partager
    Facebook Twitter LinkedIn Pinterest E-mail

    Un serveur Python public laissé ouvert à Budapest. Trois opérateurs de phishing identifiés par 218 comptes Microsoft 365 compromis dans 12 pays, et des traces d’IA générative dans le code des attaquants. Bienvenue dans le rapport CTI du siècle signé Lexfo.

    La porte grande ouverte : un serveur, trois filières

    Fin avril 2026, un scan de routine met dans le mille : un répertoire ouvert sur un serveur hébergé à Budapest, accessible sans mot de passe. Le coupable est un `python3 -m http.server 8080` lancé sur une interface publique, avec l’indexation des fichiers activée. La commande fautive figure encore dans le `.bash_history`, lisible par n’importe quel visiteur. L’équipe de renseignement cyber (CTI) de la société française Lexfo saisit l’occasion et publie ses conclusions le 13 juillet.

    À partir de ce point d’entrée unique, les chercheurs remontent trois campagnes distinctes, chacune pilotée par un opérateur différent. Le premier, un Égyptien connu sous les alias MaDoO ou codemado, sévit dans le milieu du piratage depuis 2018. Originaire du milieu VoIP, il a évolué pour devenir un opérateur de phishing à part entière, développant même son propre outil d’envoi massif de courriels baptisé MaDoO Blaster. Le deuxième est un Nigérian identifié sous le pseudonyme mail-argenta : il est trahi par ses propres identifiants, recyclés dans des fuites d’infostealers. Le troisième, saroula01, reste anonyme malgré une adresse email retrouvée dans les commits Git.

    218 comptes, 12 pays : le tableau de chasse

    La troisième campagne, menée par saroula01, est la plus massive et la plus sophistiquée. Active sans interruption depuis juin 2025, elle exploite le flux OAuth Device Code de Microsoft, un mécanisme d’authentification légitime conçu pour les appareils dépourvus de navigateur (console Xbox, terminal IoT, etc.). L’attaque génère un code réel via la plateforme Microsoft Identity, le présente à la victime sur une page imitant la célèbre alerte Microsoft Authenticator, puis récupère le jeton d’accès dès que celle-ci s’authentifie sur le vrai portail `microsoft.com/devicelogin`. La victime croit accomplir une étape de sécurité normale pendant que l’attaquant capture silencieusement l’accès.

    Résultat : 218 comptes compromis dans 12 pays, dont 94 % de messageries professionnelles, notamment des PME, cabinets juridiques et entités du secteur public en Australie, au Royaume-Uni et en Europe continentale. Un fichier de jetons, commité puis supprimé du dépôt Git mais toujours lisible dans l’historique, contenait 97 sessions Microsoft actives en rafraîchissement automatique. Certaines avaient été renouvelées jusqu’à 25 fois, maintenant l’accès aux boîtes mail sans aucune intervention humaine pendant des mois.

    Evilginx, IA et marché noir du phishing

    Les trois opérateurs exploitent des forks personnalisés d’Evilginx, le framework AiTM (Adversary-in-the-Middle) capable d’intercepter en temps réel les cookies de session Microsoft 365, y compris après validation du second facteur d’authentification (MFA). Le fork de mail-argenta, baptisé red-queen, va particulièrement loin : il introduit un contournement de l’intégrité des sous-ressources (SRI), un moteur de réécriture d’URL, et une durée de validité des cookies capturés fixée à un an. De quoi survivre aux changements de mot de passe et aux rotations de jetons.

    L’enquête révèle aussi le recours massif à l’IA générative dans la fabrication des outils. Deux commits du framework black-queen portent la co-signature de Claude, le modèle d’Anthropic. D’autres scripts contiennent des traces de CyberNeurova, une API d’IA non censurée commercialisée pour générer du code offensif sans restriction. Le fichier `instructions.txt` du dépôt est en fait la sauvegarde textuelle brute d’une session de développement avec un modèle de langage, référence explicite comprise. La barrière technique pour monter une campagne de phishing fonctionnelle est tombée à un niveau proche de zéro.

    Côté infrastructure, codemado a déployé un arsenal complet : un tunnel Cloudflare pour masquer l’adresse IP réelle du serveur, un filtre anti-bot Node.js basé sur FingerprintJS2 qui redirige les scanners vers une vidéo YouTube, un système de tracking par QR code qui remonte au pirate les caractéristiques de chaque visiteur avant même le chargement de la page de phishing, et un pipeline Telegram automatisé de collecte de combolists (identifiants surveillant plus de 100 canaux en temps réel. Les identifiants ainsi récoltés sont immédiatement validés en masse via des serveurs SMTP légitimes compromis, permettant d’envoyer les emails de phishing depuis des adresses professionnelles authentiques. Les trois opérateurs partagent du code issu de dépôts GitHub publics sans coordination avérée, et l’un d’eux est connecté à The Quarry, un écosystème de phishing-as-a-service documenté par SOCRadar en juin 2026, vendu à près de 200 opérateurs. Un marché criminel désormais industrialisé où chaque pièce se loue séparément.

    L’ensemble dessine un tissu criminel où les briques logicielles s’assemblent à la carte pour quelques centaines de dollars sur Telegram, et où l’IA générative abaisse encore le seuil de compétence requis. Pour les équipes IT, le principal rempart reste la vigilance au quotidien, la mise à jour des règles de détection, et un attaquant qui oublie de fermer son serveur.

    Publications similaires :

    1. Windows 11 : l’IA traque les failles avant les pirates
    2. WhatsApp : 6 innovations à venir dont stockage optimisé, gestion multi-comptes et intégration de l’IA Meta
    3. Channels : Pilotez Claude Code directement via Discord et Telegram pour une expérience connectée
    4. découverte des fonctionnalités puissantes de microsoft word
    Part. Facebook Twitter Pinterest LinkedIn Tumblr E-mail
    Fabien Doué
    • Site web

    Un passionné de tech qui suit l'actualité geek de près ! Je suis aussi formateur en robotique et en IA.

    Connexes Postes

    Microsoft : emissions CO2 en hausse de 25 %, l’IA en cause

    14 juillet 2026

    Paris nomme l’unite russe du FSB qui la pirate depuis 20 ans

    14 juillet 2026

    Arnaque Delta Sky Club : email piege qui affiche votre IBAN

    14 juillet 2026
    Laisser Une Réponse Annuler La Réponse

    Phishing : 218 comptes Microsoft piratés via serveur ouvert

    14 juillet 2026

    Microsoft : emissions CO2 en hausse de 25 %, l’IA en cause

    14 juillet 2026

    Paris nomme l’unite russe du FSB qui la pirate depuis 20 ans

    14 juillet 2026

    Arnaque Delta Sky Club : email piege qui affiche votre IBAN

    14 juillet 2026

    Google Maps : navigation 3D immersive sur Android Auto

    14 juillet 2026

    Super-app AMI : l’État veut centraliser toutes vos démarches

    13 juillet 2026

    Pixels de suivi email : la CNIL impose le consentement

    13 juillet 2026

    Windows 11 veut faire de votre smartphone Android un vrai PC

    13 juillet 2026
    © 2026
    • CONTACT
    • Privacy Policy

    Type ci-dessus et appuyez sur Enter pour la recherche. Appuyez sur Esc pour annuler.