AI device code phishing-campagne escaleert

Introductie

Microsoft heeft een belangrijke evolutie in device code phishing bekendgemaakt en laat zien hoe aanvallers generatieve AI, automatisering en cloudgehoste infrastructuur combineren om op grote schaal Microsoft-accounts te compromitteren. Voor securityteams en Microsoft 365-beheerders is dit relevant omdat de campagne legitieme authenticatiestromen aanvalt in plaats van direct wachtwoorden te stelen, waardoor ze moeilijker te detecteren is met traditionele controles.

Wat is er nieuw in deze campagne

Volgens Microsoft Defender Security Research bouwt deze activiteit voort op eerdere device code phishing-tactieken, maar voegt ze verschillende belangrijke verbeteringen toe:

• AI-gestuurde phishinglokmiddelen: Aanvallers gebruikten generatieve AI om sterk gepersonaliseerde e-mails te maken, gekoppeld aan functies en bedrijfsscenario’s zoals facturen, RFPs en productieprocessen.
• Dynamische device code-generatie: In plaats van te vertrouwen op vooraf gegenereerde codes die na 15 minuten verlopen, wordt de device code pas aangemaakt wanneer de gebruiker op de phishinglink klikt.
• Geautomatiseerde cloudinfrastructuur: Threat actors gebruikten platforms zoals Railway, Vercel, Cloudflare Workers en AWS Lambda om kortstondige infrastructuur en redirect-ketens te implementeren.
• Verkeer dat opgaat in normaal verkeer: Redirects via vertrouwde cloudservices helpen de activiteit eenvoudige blocklists en op reputatie gebaseerde verdediging te omzeilen.
• Misbruik van tokens na compromittering: Zodra een slachtoffer de device login flow voltooit, gebruiken aanvallers het token voor e-mailexfiltratie, het aanmaken van inboxregels en Microsoft Graph-verkenning.

Waarom dit anders is

Traditionele phishing probeert meestal credentials buit te maken. In dit geval misleidt de aanvaller de gebruiker om een legitieme Microsoft device login-sessie goed te keuren die door de aanvaller is gestart. Omdat de authenticatie plaatsvindt op Microsofts echte device login-pagina, kunnen gebruikers minder argwaan hebben, en kan MFA minder effectief zijn als de sessie niet sterk is gebonden aan de oorspronkelijke context.

Microsoft koppelt deze trend ook aan EvilToken, een phishing-as-a-service-toolkit die breder misbruik van device code stimuleert. Het gebruik van automatisering en AI markeert een duidelijke stap vooruit ten opzichte van de Storm-2372-campagne die in 2025 werd gedocumenteerd.

Impact op IT-beheerders

Security- en identityteams moeten rekening houden met:

• Meer overtuigende phishing-e-mails gericht op gebruikers met hoge waarde
• Toenemend misbruik van legitieme OAuth- en Microsoft sign-in-flows
• Compromittering op basis van tokens zonder wachtwoorddiefstal
• Persistentie via kwaadaardige inboxregels en verborgen e-mailomleiding
• Verkenning van de organisatiestructuur via Microsoft Graph

Aanbevolen acties

Beheerders moeten Microsofts mitigatierichtlijnen bekijken en prioriteit geven aan:

• Monitoring op verdachte device code authentication-activiteit
• Onderzoek naar onverwachte inboxregels en tokengebaseerde toegangspatronen
• Waar mogelijk aanscherpen van conditional access- en sign-in risk-beleidsregels
• Gebruikers trainen om ongevraagde device login-prompts als verdacht te behandelen
• Jagen op verdachte redirects, impersonation-domeinen en cloudgehoste phishinginfrastructuur

Dit onderzoek herinnert eraan dat phishingverdediging nu ook rekening moet houden met misbruik van legitieme authenticatieworkflows, niet alleen met nep-inlogpagina’s en gestolen wachtwoorden.