Microsoft a détaillé a large-scale phishing campaign qu’il a utilisé des techniques à plusieurs étapes pour compromettre les sessions utilisateur et contourner l’authentification multi-facteurs, soulignant une évolution croissante vers les attaques basées sur des jetons.
Selon l’équipe de renseignement sur les menaces de Microsoft, la campagne a ciblé plus de 35 000 utilisateurs dans plus de 13 000 organisations dans 26 pays en un court laps de temps entre le 14 et le 16 avril 2026. La majorité des cibles étaient situées aux États-Unis, avec des secteurs comme la santé, la finance et la technologie fortement touchés.
L’attaque reposait sur un appât de « code de conduite », où les victimes recevaient des e-mails de phishing les incitant à revoir ou à reconnaître les politiques liées au lieu de travail. Ces messages étaient conçus pour paraître authentiques et distribués en plusieurs vagues afin d’accroître leur efficacité.
Une fois la cible engagée, l’opération se déroulait en plusieurs étapes. Les victimes étaient redirigées à travers une chaîne d’infrastructures malveillantes avant de finalement tomber sur une page de phishing conçue pour capturer les identifiants. Cependant, la campagne ne s’est pas arrêtée au vol de mots de passe. À la place, les attaquants utilisaient des techniques d’adversaire au milieu pour intercepter en temps réel les données d’authentification.
Cette méthode permettait aux acteurs de la menace d’obtenir des jetons de session, permettant ainsi l’accès au compte sans avoir besoin de nouveaux identifiants. Ce vol de jetons est particulièrement important car il peut contourner les protections d’authentification multifacteur, généralement conçues pour empêcher les connexions non autorisées.
Microsoft a noté que la campagne exploitait une infrastructure de proxy inverse pour se placer entre les utilisateurs et les services de connexion légitimes. Cette configuration permettait aux attaquants de capturer les cookies d’authentification et de maintenir un accès persistant même après une compromission initiale.
La conception à plusieurs étages incluait également des tactiques d’évasion. Infrastructure d’attaque adaptée dynamiquement aux interactions des utilisateurs et aux contrôles environnementaux, réduisant la probabilité d’être détectée par des outils de sécurité. Dans certains cas, le contenu de phishing était affiché de manière sélective selon les conditions de ciblage, limitant l’exposition aux chercheurs et aux défenses automatisées.
Les chercheurs ont souligné que la campagne ne se concentrait pas sur un seul secteur, mais ciblait plutôt un large éventail d’organisations. Cette approche large reflète un virage vers des opérations de phishing évolutives qui privilégient le volume et l’automatisation plutôt que des attaques hautement ciblées.
Les résultats mettent en lumière une tendance plus large des menaces cybernétiques. Les attaquants dépassent de plus en plus le vol de références pour se tourner vers le détournement de sessions et les attaques basées sur l’identité. Dans ces scénarios, les défenses traditionnelles telles que la réinitialisation des mots de passe peuvent ne pas suffire, car les jetons volés peuvent continuer à fournir l’accès s’ils ne sont pas révoqués.
Microsoft conseille aux organisations de renforcer les mesures de protection de l’identité, notamment la surveillance d’une activité suspecte de session, la mise en place de politiques d’accès conditionnel, et la révocation rapide des jetons en réponse à une éventuelle compromission.
La campagne démontre comment les opérations de phishing continuent d’évoluer, combinant ingénierie sociale et infrastructure avancée pour contourner les contrôles de sécurité établis et maintenir un accès à long terme aux comptes compromis.