debull device code microsoft 365 scattered spider

Phishing su Microsoft 365: Debull ruba gli account senza password (e l’errore fatale di Scattered Spider)

🛡️ Executive Summary

  • Il tool Debull automatizza campagne di phishing sfruttando il flusso OAuth 2.0 Device Code di Microsoft senza ricorrere a pagine di login contraffatte.
  • Gli attaccanti ottengono token di accesso validi per Microsoft 365 ed eseguono il post-exploitation con strumenti come GraphSpy.
  • Documenti giudiziari mostrano inoltre come il Windows Global Device Identifier abbia contribuito ad attribuire attività riconducibili a un presunto membro di Scattered Spider.

Le moderne campagne di phishing puntano sempre meno al furto diretto delle password e sempre più all’abuso di meccanismi di autenticazione perfettamente legittimi. È il caso di Debull, una piattaforma phishing-as-a-service (PhaaS) progettata per sfruttare il flusso OAuth 2.0 Device Code di Microsoft, ottenendo token di accesso validi agli account Microsoft 365 ed Entra ID senza dover clonare la pagina di login dell’azienda. Le campagne osservate tra la fine di giugno e l’inizio di luglio 2026 dimostrano un’evoluzione significativa delle tecniche di social engineering, basate sull’utilizzo di infrastrutture modulari che separano la fase di inganno dal backend incaricato di recuperare i token di autenticazione. Parallelamente, documenti depositati dalla magistratura statunitense hanno evidenziato come un identificatore persistente dei dispositivi Windows, il Global Device Identifier, sia stato determinante nell’attribuzione di attività riconducibili a un presunto membro del gruppo Scattered Spider, dimostrando che anche gli attaccanti più esperti possono lasciare tracce digitali utili alle indagini.

Debull automatizza il phishing sfruttando il Device Code Flow

Il Device Code Flow è una componente dello standard OAuth 2.0 progettata per dispositivi privi di tastiera o browser completi, come smart TV, console e apparati IoT. Debull trasforma questo meccanismo in uno strumento di compromissione delle identità digitali. L’attaccante avvia il processo dal proprio backend, genera un codice di autenticazione Microsoft e lo presenta alla vittima attraverso email costruite con pretesti credibili, come notifiche relative a documenti condivisi, richieste di pagamento o collaborazioni aziendali. Le campagne analizzate utilizzavano persino un sito croato compromesso come intermediario, evitando di esporre direttamente l’infrastruttura di attacco.

image 193
Phishing su Microsoft 365: Debull ruba gli account senza password (e l'errore fatale di Scattered Spider) 8

La vittima viene quindi invitata a visitare il sito legittimo microsoft.com/devicelogin, dove inserisce il codice ricevuto. Dal punto di vista dell’utente l’intera procedura appare autentica, perché tutta l’autenticazione avviene sui server Microsoft. In realtà il backend di Debull resta in attesa del completamento del processo e, non appena l’utente autorizza il dispositivo, recupera automaticamente il token OAuth che garantisce pieno accesso all’account.

Token validi senza rubare password o aggirare la MFA

image 194
Phishing su Microsoft 365: Debull ruba gli account senza password (e l'errore fatale di Scattered Spider) 9

L’aspetto più insidioso della tecnica è che non vengono intercettate credenziali né violati direttamente i sistemi di autenticazione multifattore. L’utente completa volontariamente un processo legittimo, mentre il broker di Debull esegue il polling dell’autorizzazione fino all’emissione del token. Una volta ottenuto il token, gli operatori dispongono di una sessione completamente valida e possono accedere ai servizi Microsoft 365 come se fossero l’utente autenticato. La vittima viene infine reindirizzata verso Outlook o altre pagine Microsoft, convincendosi che la procedura sia semplicemente terminata o non sia andata a buon fine. L’attacco elimina così uno dei principali indicatori tipici del phishing tradizionale: l’inserimento delle credenziali in un sito contraffatto.

GraphSpy e il post-exploitation negli ambienti Microsoft 365

La compromissione dell’identità rappresenta soltanto la prima fase dell’operazione. Dopo aver ottenuto il token OAuth, gli operatori ricorrono frequentemente a GraphSpy, uno strumento progettato per sfruttare le Microsoft Graph API durante il post-exploitation. Attraverso questo tool è possibile consultare caselle di posta elettronica, accedere a documenti archiviati in SharePoint e OneDrive, effettuare attività di ricognizione sull’organizzazione e mantenere una forma di persistenza all’interno del tenant. Nel caso analizzato dai ricercatori, all’interno dell’ambiente compromesso è comparso un nuovo oggetto dispositivo denominato GraphSpy-Device, considerato un importante indicatore di compromissione. L’infrastruttura di Debull integra inoltre funzionalità dedicate alla gestione delle campagne, alla distribuzione delle pagine di phishing tramite Cloudflare Workers, all’analisi statistica delle vittime e alla gestione centralizzata degli operatori, confermando l’evoluzione del phishing-as-a-service verso piattaforme sempre più strutturate.

Debull richiama il tradecraft già osservato in Storm-2372

image 195
Microsoft identifica l’accesso come Microsoft Authentication Broker su un altro dispositivo. Questa è una caratteristica chiave in stile Storm-2372.

Le tecniche implementate nella piattaforma mostrano numerose analogie con il modus operandi attribuito da Microsoft al gruppo Storm-2372, documentato già nel 2025. Anche in quel caso gli attaccanti sfruttavano il Microsoft Authentication Broker, messaggi che simulavano notifiche di collaborazione e il Device Code Flow per ottenere token di autenticazione senza sottrarre direttamente le password. Debull standardizza questo approccio rendendolo riutilizzabile da differenti operatori, separando completamente la parte dedicata alle esche dall’infrastruttura che gestisce autenticazione e raccolta dei token. Alcuni elementi individuati nel codice, tra cui stringhe in lingua turca come “Code’u otomatik kopyala” e “SAYAÇ”, suggeriscono inoltre un’origine comune di parte del software o almeno il riutilizzo di componenti sviluppati da programmatori di lingua turca.

Il Windows Global Device Identifier diventa una prova investigativa

Annuncio

Parallelamente alla scoperta di Debull, documenti depositati presso il Northern District of Illinois hanno mostrato il valore investigativo del Windows Global Device Identifier, un identificatore persistente associato ai dispositivi Windows. Secondo gli atti giudiziari, l’identificatore g:6755467234350028 è rimasto invariato anche dopo aggiornamenti del sistema operativo e ha consentito agli investigatori di collegare un dispositivo alla creazione di un account ngrok e ai successivi accessi verso l’infrastruttura di una società vittima di un’intrusione.

image 196
Phishing su Microsoft 365: Debull ruba gli account senza password (e l'errore fatale di Scattered Spider) 10

Incrociando questo dato con indirizzi IP, informazioni provenienti da account social e altri elementi di telemetria, le autorità hanno attribuito le attività a Peter Stokes, diciannovenne statunitense-estone conosciuto online con il nickname “Bouquet” e ritenuto un presunto membro del gruppo Scattered Spider. L’indagato è stato arrestato in Finlandia nell’aprile 2026 mentre tentava di partire per il Giappone.

Dal social engineering alle indagini digitali

image 192
Phishing su Microsoft 365: Debull ruba gli account senza password (e l'errore fatale di Scattered Spider) 11

Secondo gli atti dell’accusa, il gruppo avrebbe compromesso nel 2025 un importante rivenditore di gioielli di lusso utilizzando una combinazione di social engineering telefonico, reset delle credenziali tramite help desk, installazione di ngrok e strumenti di tunneling come Teleport, riuscendo a esfiltrare circa 77 GB di dati e avanzando una richiesta di riscatto pari a 8 milioni di dollari. L’azienda avrebbe sostenuto costi per circa 2 milioni di dollari tra ripristino dei sistemi, consulenze e attività investigative. Il caso evidenzia come le moderne intrusioni non dipendano esclusivamente da vulnerabilità software, ma dalla capacità di combinare manipolazione psicologica, abuso di funzionalità legittime e strumenti di amministrazione remota. Allo stesso tempo dimostra che gli attaccanti lasciano inevitabilmente artefatti persistenti, come il Global Device Identifier, che possono assumere un ruolo determinante nelle attività di attribuzione e nelle indagini giudiziarie.

Difendere le identità Microsoft dalle nuove campagne PhaaS

L’evoluzione di piattaforme come Debull dimostra che password robuste e autenticazione multifattore tradizionale non sono più sufficienti contro tecniche che sfruttano flussi OAuth perfettamente legittimi. Le organizzazioni dovrebbero limitare o monitorare l’utilizzo del Device Code Flow, adottare metodi di autenticazione resistenti al phishing come le chiavi FIDO2, implementare procedure rigorose per i reset delle credenziali richiesti agli help desk e monitorare la comparsa di indicatori anomali come dispositivi GraphSpy-Device o autorizzazioni OAuth inattese. Le campagne PhaaS continuano infatti ad abbassare la barriera tecnica necessaria per eseguire attacchi sofisticati, rendendo sempre più importante il controllo continuo delle identità digitali e delle autorizzazioni concesse agli account privilegiati negli ambienti Microsoft 365.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto