Исследователи из компании ZeroBEC, специализирующейся на защите корпоративной почты, зафиксировали кампанию, которая работала с последней недели июня 2026 года до начала июля. Материалами поделились с изданием The Hacker News. Особенность этой атаки в том, что она вообще обходится без привычной фейковой страницы ввода пароля Microsoft — той самой, которую годами учат распознавать сотрудников служб безопасности. Вместо этого злоумышленники использовали приманку в стиле корпоративного сотрудничества, чтобы подвести пользователя к настоящей странице входа по коду устройства. За кулисами работал backend-брокер, который генерировал и опрашивал токены Microsoft Authentication Broker device-code — то есть буквально управлял процессом аутентификации со стороны атакующего.
По оценке ZeroBEC, у найденной активности есть заметное сходство с кампанией, которую Microsoft описала ещё в феврале 2025 года под названием Storm-2372. Там тоже использовались приманки в духе Teams, жертву обманом заставляли ввести предоставленный атакующим код устройства вместе со своими учётными данными, и это позволяло восстанавливать токены и захватывать аккаунты. Разница в том, что перед нами, судя по всему, не отдельная кампания той же группы, а переиспользуемый инструментальный слой — исследователи назвали его DEBULL, — который просто эксплуатирует ту же тактику, что когда-то применяла Storm-2372.
Чтобы понять, почему эта схема вообще работает, стоит разобраться в механике device code phishing. Атака эксплуатирует вполне легитимный механизм OAuth 2.0 — Device Authorization Grant flow. Он придуман не для взлома, а для удобства: представьте смарт-телевизор или принтер без полноценной клавиатуры. Устройство показывает короткий код, а пользователь вводит этот код в браузере на другом гаджете — телефоне или компьютере — и таким образом подтверждает вход. Никакого пароля вводить на самом устройстве не нужно.
Проблема в том, что этот же поток можно развернуть в обратную сторону. Атакующий сам запускает процесс авторизации на своей стороне, получает код и передаёт его жертве через фишинговое письмо. Человек, ничего не подозревая, вводит чужой код на настоящей странице Microsoft и тем самым авторизует не своё, а атакующее устройство. В компании Huntress эту особенность описали довольно точно: «Device code phishing не взламывает систему. Он использует легитимный механизм аутентификации, чтобы пройти прямо через парадную дверь — без пароля, с обходом MFA и передачей сессионных токенов прямо в руки атакующему».
Итог подобной атаки может быть разным по масштабу, но всегда неприятным: полный захват аккаунта, кража ценной информации, финансовое мошенничество, компрометация деловой переписки (BEC), продвижение внутри взломанной инфраструктуры и, в худшем случае, запуск программ-вымогателей.
В мае 2026 года компания Proofpoint отметила ещё одну деталь, усложняющую защиту: в большинстве современных атак код генерируется динамически прямо в момент клика по фишинговой ссылке. Это значит, что письмо можно открыть в любое удобное для жертвы время — цепочка атаки запустится именно тогда. Такие готовые цепочки можно либо купить как услугу через площадки Phishing-as-a-Service — например, EvilTokens или Tycoon, — либо собрать самостоятельно.
Отдельного внимания заслуживает техника, которую можно назвать прыжком через скомпрометированные аккаунты. Атакующий сначала получает доступ к одному почтовому ящику, а затем рассылает фишинговые ссылки уже гораздо более широкому кругу контактов — коллегам, партнёрам, клиентам жертвы. Доставка идёт через кнопки, гиперссылки в тексте, вложенные документы или QR-коды. Переход по любой из этих ссылок запускает процесс device authorization уже на стороне Microsoft.
Что касается конкретной кампании, найденной ZeroBEC, — там использовались приманки на тему оплаты счетов и общих папок. Жертву перенаправляли на легитимный, но взломанный хорватский сайт по аренде недвижимости, который в этой схеме исполнял роль оркестратора device code — именно он запускал цепочку запросов к Microsoft. В коде рабочего процесса исследователи заметили турецкоязычные маркеры разработчика, хотя этого недостаточно, чтобы однозначно установить происхождение операторов.
Сама платформа DEBULL, по всей видимости, представляет собой сервис Phishing-as-a-Service и опирается на GraphSpy или производный от него workflow для постэксплуатации в Microsoft 365 и Entra. Оператор может задать имя страницы и slug, напрямую редактировать HTML, CSS и JavaScript, выбрать способ публикации приманки. В комплект встроенных шаблонов входят страница аутентификации по device-коду для Microsoft 365, страница OAuth callback и обычная посадочная страница. Именно шаблон M365 раскрывает базовый строительный блок всей схемы: отображение кода пользователя, функция копирования кода и ссылка на настоящую страницу входа устройства Microsoft. ZeroBEC подытожили это так: «Идентичная тактика Storm-2372 теперь упаковывается в переиспользуемую брокерскую инфраструктуру. DEBULL предоставляет слой, обращённый к кампании и к оператору. GraphSpy или производный от него код, вероятно, отвечает за постаутентификационную часть. Приманку можно менять, не трогая бэкенд идентификационного стека».
Похожую находку сделали в Cisco Talos — там описали полнофункциональную операторскую панель под названием ARToken, которая делит инфраструктуру, API-контракты и операционные паттерны с EvilTokens. Панель доступна партнёрам-аффилиатам и предоставляет более 80 API-эндпоинтов для device code phishing, персистентности через Primary Refresh Token, доступа к почте, операций BEC и эксфильтрации данных из SharePoint. Управляется всё это через дашборд на React. EvilTokens в свою очередь умеет вооружать украденные токены для выкачивания писем, файлов и чувствительных данных, вести разведку через Microsoft Graph API и закрепляться в системе надолго. Есть там и функции на базе ИИ, которые автоматизируют BEC-операции — просеивают тысячи украденных писем, находят переписку, связанную с финансами, и составляют черновики мошеннических писем. Исследователь Cisco Talos Майкл Келли прокомментировал это так: «Эти функции показывают, что платформа гораздо зрелее простого набора для device code phishing — это полноценная среда для операций BEC». Новые кампании на базе этого инструментария отличаются перестроенной инфраструктурой, несколькими слоями обфускации и серьёзными мерами защиты от исследователей и автоматического сканирования.
В мае 2026 года компания eSentire сообщила о ещё одном игроке — операторы Tycoon 2FA переориентировали свой существующий PhaaS-набор под доставку фишинга через OAuth device code grant. Цепочка атаки выглядит так: жертва кликает по трекинговой ссылке Trustifi в письме-приманке, после чего, сама того не понимая, передаёт OAuth-токены устройству атакующего — и всё это происходит через легитимную страницу входа Microsoft по адресу .
По оценке ZeroBEC, у найденной активности есть заметное сходство с кампанией, которую Microsoft описала ещё в феврале 2025 года под названием Storm-2372. Там тоже использовались приманки в духе Teams, жертву обманом заставляли ввести предоставленный атакующим код устройства вместе со своими учётными данными, и это позволяло восстанавливать токены и захватывать аккаунты. Разница в том, что перед нами, судя по всему, не отдельная кампания той же группы, а переиспользуемый инструментальный слой — исследователи назвали его DEBULL, — который просто эксплуатирует ту же тактику, что когда-то применяла Storm-2372.
Чтобы понять, почему эта схема вообще работает, стоит разобраться в механике device code phishing. Атака эксплуатирует вполне легитимный механизм OAuth 2.0 — Device Authorization Grant flow. Он придуман не для взлома, а для удобства: представьте смарт-телевизор или принтер без полноценной клавиатуры. Устройство показывает короткий код, а пользователь вводит этот код в браузере на другом гаджете — телефоне или компьютере — и таким образом подтверждает вход. Никакого пароля вводить на самом устройстве не нужно.
Проблема в том, что этот же поток можно развернуть в обратную сторону. Атакующий сам запускает процесс авторизации на своей стороне, получает код и передаёт его жертве через фишинговое письмо. Человек, ничего не подозревая, вводит чужой код на настоящей странице Microsoft и тем самым авторизует не своё, а атакующее устройство. В компании Huntress эту особенность описали довольно точно: «Device code phishing не взламывает систему. Он использует легитимный механизм аутентификации, чтобы пройти прямо через парадную дверь — без пароля, с обходом MFA и передачей сессионных токенов прямо в руки атакующему».
Итог подобной атаки может быть разным по масштабу, но всегда неприятным: полный захват аккаунта, кража ценной информации, финансовое мошенничество, компрометация деловой переписки (BEC), продвижение внутри взломанной инфраструктуры и, в худшем случае, запуск программ-вымогателей.
В мае 2026 года компания Proofpoint отметила ещё одну деталь, усложняющую защиту: в большинстве современных атак код генерируется динамически прямо в момент клика по фишинговой ссылке. Это значит, что письмо можно открыть в любое удобное для жертвы время — цепочка атаки запустится именно тогда. Такие готовые цепочки можно либо купить как услугу через площадки Phishing-as-a-Service — например, EvilTokens или Tycoon, — либо собрать самостоятельно.
Отдельного внимания заслуживает техника, которую можно назвать прыжком через скомпрометированные аккаунты. Атакующий сначала получает доступ к одному почтовому ящику, а затем рассылает фишинговые ссылки уже гораздо более широкому кругу контактов — коллегам, партнёрам, клиентам жертвы. Доставка идёт через кнопки, гиперссылки в тексте, вложенные документы или QR-коды. Переход по любой из этих ссылок запускает процесс device authorization уже на стороне Microsoft.
Что касается конкретной кампании, найденной ZeroBEC, — там использовались приманки на тему оплаты счетов и общих папок. Жертву перенаправляли на легитимный, но взломанный хорватский сайт по аренде недвижимости, который в этой схеме исполнял роль оркестратора device code — именно он запускал цепочку запросов к Microsoft. В коде рабочего процесса исследователи заметили турецкоязычные маркеры разработчика, хотя этого недостаточно, чтобы однозначно установить происхождение операторов.
Сама платформа DEBULL, по всей видимости, представляет собой сервис Phishing-as-a-Service и опирается на GraphSpy или производный от него workflow для постэксплуатации в Microsoft 365 и Entra. Оператор может задать имя страницы и slug, напрямую редактировать HTML, CSS и JavaScript, выбрать способ публикации приманки. В комплект встроенных шаблонов входят страница аутентификации по device-коду для Microsoft 365, страница OAuth callback и обычная посадочная страница. Именно шаблон M365 раскрывает базовый строительный блок всей схемы: отображение кода пользователя, функция копирования кода и ссылка на настоящую страницу входа устройства Microsoft. ZeroBEC подытожили это так: «Идентичная тактика Storm-2372 теперь упаковывается в переиспользуемую брокерскую инфраструктуру. DEBULL предоставляет слой, обращённый к кампании и к оператору. GraphSpy или производный от него код, вероятно, отвечает за постаутентификационную часть. Приманку можно менять, не трогая бэкенд идентификационного стека».
Похожую находку сделали в Cisco Talos — там описали полнофункциональную операторскую панель под названием ARToken, которая делит инфраструктуру, API-контракты и операционные паттерны с EvilTokens. Панель доступна партнёрам-аффилиатам и предоставляет более 80 API-эндпоинтов для device code phishing, персистентности через Primary Refresh Token, доступа к почте, операций BEC и эксфильтрации данных из SharePoint. Управляется всё это через дашборд на React. EvilTokens в свою очередь умеет вооружать украденные токены для выкачивания писем, файлов и чувствительных данных, вести разведку через Microsoft Graph API и закрепляться в системе надолго. Есть там и функции на базе ИИ, которые автоматизируют BEC-операции — просеивают тысячи украденных писем, находят переписку, связанную с финансами, и составляют черновики мошеннических писем. Исследователь Cisco Talos Майкл Келли прокомментировал это так: «Эти функции показывают, что платформа гораздо зрелее простого набора для device code phishing — это полноценная среда для операций BEC». Новые кампании на базе этого инструментария отличаются перестроенной инфраструктурой, несколькими слоями обфускации и серьёзными мерами защиты от исследователей и автоматического сканирования.
В мае 2026 года компания eSentire сообщила о ещё одном игроке — операторы Tycoon 2FA переориентировали свой существующий PhaaS-набор под доставку фишинга через OAuth device code grant. Цепочка атаки выглядит так: жертва кликает по трекинговой ссылке Trustifi в письме-приманке, после чего, сама того не понимая, передаёт OAuth-токены устройству атакующего — и всё это происходит через легитимную страницу входа Microsoft по адресу .