🛡️ Executive Summary
- ARToken opera come pannello PhaaS affiliato a EvilTokens per phishing Microsoft 365 tramite OAuth device code.
- Il toolkit espone oltre ottanta endpoint API per token, persistenza PRT, BEC, email e SharePoint.
- Il kit usa anti-analisi a sette livelli, payload cifrati e infrastruttura Cloudflare Workers per evadere sandbox e scanner.
ARToken emerge come uno dei pannelli phishing-as-a-service più maturi collegati all’ecosistema EvilTokens, con capacità offensive progettate per compromettere account Microsoft 365, mantenere persistenza e automatizzare operazioni post-compromissione. L’analisi del bundle JavaScript di un pannello React esposto pubblicamente ha rivelato oltre 80 endpoint API, funzioni per phishing tramite OAuth 2.0 device code, escalation verso Primary Refresh Token, accesso a caselle Outlook, operazioni di business email compromise e navigazione di SharePoint e OneDrive. La piattaforma non si limita quindi alla cattura iniziale dei token, ma offre agli operatori un ambiente completo per monetizzare accessi cloud, spostarsi tra account compromessi e condurre campagne laterali. Il caso conferma l’evoluzione del phishing moderno: non più semplici pagine clone, ma infrastrutture multi-tenant, API-driven, integrate con Telegram, Cloudflare Workers, template dinamici e tecniche anti-analisi capaci di rallentare ricercatori, sandbox e sistemi di detection.
Cosa leggere
EvilTokens sfrutta il device code phishing contro Microsoft 365
Il cuore operativo di EvilTokens e ARToken è l’abuso del grant di autorizzazione device code di OAuth 2.0 in ambiente Microsoft 365. Questa tecnica non richiede di intercettare direttamente password o codici MFA, perché induce la vittima a completare un flusso di autenticazione legittimo su un endpoint Microsoft, mentre l’operatore riceve il token nel pannello. Una volta completata l’autenticazione, il token catturato permette l’accesso alle risorse autorizzate senza dover superare nuovamente l’autenticazione multifattore nel modo tradizionale. La piattaforma opera come servizio multi-tenant, con workspace separati per ogni affiliato, notifiche tramite bot Telegram e un editor di template per costruire lure personalizzate. Il modello commerciale rafforza la professionalizzazione dell’ecosistema: accesso una tantum da 1.500 dollari, canone mensile da 500 dollari e browser portale standalone disponibile a 500 dollari lifetime. In questo schema, il phishing diventa una pipeline industrializzata dove cattura token, persistenza, esfiltrazione e BEC sono componenti integrate dello stesso servizio.
Il lure usa relazioni vendor reali e SharePoint look-alike

La campagna analizzata mostra un livello di targeting superiore al phishing generico. Il 20 aprile 2026, due messaggi quasi identici sono stati inviati a pochi minuti di distanza verso il reparto contabilità di un’azienda statunitense del settore scienze della vita, impersonando un contatto del reparto accounting di un appaltatore reale del Wisconsin. Il tema scelto, fatture in sospeso, sfrutta una relazione vendor concreta e un contesto operativo credibile per personale abituato a gestire richieste amministrative urgenti. Il campo From usa il dominio autentico del fornitore, mentre il Reply-To devia eventuali risposte verso un dominio non correlato. Tutti e tre i controlli di autenticazione email, SPF, DKIM e DMARC, falliscono, ma la costruzione del messaggio resta efficace perché il link visibile sembra puntare al tenant SharePoint genuino del vendor. L’attributo href, invece, conduce a un tenant look-alike controllato dagli attaccanti sotto un diverso workspace Microsoft 365, mantenendo l’host sharepoint.com per beneficiare della reputazione pulita del dominio legittimo.
ARToken espone il pannello operativo nel bundle React
Durante l’indagine su infrastrutture collegate a un engagement di incident response, i ricercatori hanno individuato il pannello all’indirizzo dashboard-bl.pamconj.com. La pagina serviva una single-page application React con bundle JavaScript compilato da circa 1,7 MB e titolo ARToken Panel. L’architettura SPA ha esposto direttamente nel codice client-side route, etichette dell’interfaccia, componenti e percorsi degli endpoint API, anche senza autenticazione.

Il command-and-control associato operava su spx.pamconj.com, mentre le lure venivano distribuite tramite account Cloudflare Workers con pattern di sottodomini simili a clear90489058903-document.workers.dev. Questa esposizione ha permesso di ricostruire in dettaglio le funzionalità disponibili agli operatori. Il contratto API coincide con quello documentato per EvilTokens: il kit invia richieste POST a /api/device/start con parametri come userId, clientMode impostato su broker, login_hint e redirect_url, ricevendo device_code, user_code, verification_uri ed expires_in. Il valore broker indica l’impiego del flusso Microsoft Authentication Broker per acquisire una Primary Refresh Token.
Il kit applica anti-analisi client-side a sette livelli
Il kit di phishing include un sistema anti-analisi a sette livelli progettato per distinguere utenti reali da sandbox, crawler e framework di automazione. La prima verifica analizza la stringa User-Agent per bloccare browser headless, Selenium, Puppeteer, Playwright, crawler e strumenti da riga di comando. La seconda controlla navigator.webdriver, indicatore tipico di sessioni automatizzate. La terza effettua fingerprinting delle feature del browser, cercando anomalie come assenza di window.chrome, valori sospetti in navigator.vendor o API touch e mouse non coerenti. La quarta controlla dimensioni della finestra e valori predefiniti tipici degli ambienti headless. La quinta richiede almeno tre movimenti del mouse o un evento touch prima di abilitare il payload. La sesta impone un tempo minimo di 800 millisecondi dal caricamento della pagina. La settima analizza le traiettorie del mouse per verificare movimenti organici e non lineari. Solo dopo questi controlli il kit decripta a runtime il payload JavaScript cifrato con chiave XOR a 16 byte.
La persistenza passa dalla Primary Refresh Token
Una volta completato il flusso device code, il token della vittima compare nel dashboard ARToken e diventa immediatamente utilizzabile dagli operatori. Il pannello consente refresh dei token, esportazione in massa, importazione da fonti esterne e condivisione tramite link con permessi granulari. La funzione più critica riguarda l’escalation verso Primary Refresh Token, ottenuta attraverso endpoint come /prt/setup, /prt/refresh, /prt/renew, /prt/reacquire e /prt/cookie. L’interfaccia evidenzia esplicitamente la capacità PRT-enabled – Persists across password changes, segnalando che gli operatori intendono mantenere accesso anche dopo il cambio password della vittima. Il flag persistAfterPassChange impostato su false nel payload indica inoltre consapevolezza delle condizioni in cui i refresh token vengono revocati, spingendo gli affiliati ad agire rapidamente per esfiltrare dati o consolidare persistenza più forte. La possibilità di commerciare token tra piattaforme diverse rende il rischio ancora più ampio, perché un accesso catturato da un attore può essere monetizzato o riutilizzato da altri operatori.
ARTSender automatizza email, regole inbox e BEC
Il modulo ARTSender trasforma i token acquisiti in capacità operative per business email compromise. Gli operatori possono leggere la casella Outlook della vittima, inviare messaggi come l’utente compromesso, eseguire invii in BCC batch e configurare ritardi tra i messaggi per ridurre anomalie nei pattern di invio. Il pannello permette anche di creare regole nella inbox per inoltrare automaticamente email, eliminare messaggi e sopprimere prove di attività fraudolenta. La funzione Box Monitor aggiunge monitoraggio cross-account basato su parole chiave, notificando match provenienti da più caselle compromesse. Questo consente agli attaccanti di cercare termini legati a fatture, pagamenti, bonifici, contratti, password o documenti sensibili in modo centralizzato. Gli operatori possono inoltre accedere e scaricare allegati, trasformando una singola compromissione in una base per furto documentale, frodi finanziarie e phishing laterale. In un ambiente Microsoft 365, il controllo della casella email resta uno dei punti più pericolosi perché consente identità affidabile, accesso a conversazioni reali e abuso delle relazioni aziendali esistenti.
SharePoint, OneDrive e Cloudflare ampliano la superficie offensiva
ARToken include funzioni per navigare siti SharePoint e file OneDrive delle vittime, scaricare contenuti, caricare nuovi file e modificare permessi. Questo supporta due obiettivi: esfiltrare documenti sensibili e posizionare file malevoli in aree cloud considerate affidabili dall’organizzazione compromessa. Il pannello si integra anche con le API di Cloudflare, consentendo agli operatori di autenticarsi tramite token API o chiave globale, elencare Workers, distribuire template di phishing, gestire origini consentite, prefissi dei worker e server proxy per device code. Un’applicazione Windows standalone chiamata ARTBrowser permette infine di navigare sessioni Microsoft 365 delle vittime usando token catturati al di fuori dell’interfaccia web. Queste funzioni mostrano un modello di piattaforma completo: gestione infrastrutturale, cattura credenziali, persistenza, accesso documentale, invio email e operazioni browser vengono centralizzati in un unico pannello. La presenza di placeholder geo-dinamici nei template, come città, stato e codice paese, consente lure adattate automaticamente alla geolocalizzazione della vittima.
Mitigazioni per tenant Microsoft 365 e team SOC
La difesa contro ARToken richiede controlli specifici sul phishing device code e sull’uso anomalo dei token. Le organizzazioni devono monitorare flussi OAuth device code, autenticazioni con Microsoft Authentication Broker, creazione o uso sospetto di Primary Refresh Token, accessi da tenant o applicazioni insolite e attività anomale su SharePoint, OneDrive e Outlook. Il fallimento simultaneo di SPF, DKIM e DMARC deve pesare in modo forte nelle policy email, soprattutto quando il messaggio contiene link a SharePoint con tenant non coerenti con il mittente. I team SOC dovrebbero correlare invii BEC, nuove regole inbox, forwarding automatico, download massivi di allegati, creazione di link condivisi e accessi da browser o user agent inconsueti. È opportuno limitare dove possibile il device code flow, applicare Conditional Access, richiedere device compliance, ridurre privilegi persistenti, proteggere sessioni cloud con risk-based policies e formare i reparti accounting, HR e logistica su lure legate a vendor reali. ARToken dimostra che il phishing moderno non termina con il click: inizia con il token e prosegue con una piattaforma automatizzata di compromissione cloud.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









