Una nuova ondata di attacchi di phishing sta prendendo di mira account Microsoft 365 sfruttando il device code authentication, un flusso legittimo pensato per consentire l’accesso da dispositivi con input limitato. In questo scenario, un gruppo di minaccia sospettato di essere allineato alla Russia utilizza una tecnica nota come device code phishing per ottenere token di accesso e arrivare al takeover dell’account, cioè la completa compromissione dell’identità digitale della vittima.
La campagna è attiva almeno da settembre 2025 e sfrutta indirizzi email già compromessi appartenenti a organizzazioni governative e militari. Da questi account, gli attaccanti contattano obiettivi in settori strategici come governo, think tank, istruzione superiore e trasporti, soprattutto tra Stati Uniti ed Europa. La fase iniziale è spesso costruita con cura: messaggi apparentemente innocui, conversazioni per creare fiducia e riferimenti all’area di competenza del destinatario, fino a proporre un incontro o una finta intervista.
Il passaggio chiave arriva con un link condiviso come se fosse un documento di preparazione, ad esempio con domande o temi da rivedere. Il collegamento punta a un URL basato su Cloudflare Worker che imita l’ambiente Microsoft OneDrive del mittente compromesso. Alla vittima viene chiesto di copiare un codice e premere Next per aprire il file. In realtà, il click porta alla pagina ufficiale di login Microsoft per il device code. Inserendo il codice, l’utente autorizza involontariamente una sessione che genera un access token. Questo token può essere recuperato dagli attaccanti e usato per accedere all’account Microsoft 365 senza rubare direttamente la password, aggirando in alcuni casi anche controlli aggiuntivi.
Questa tecnica è stata osservata anche in precedenza e continua a diffondersi grazie a strumenti pronti all’uso come kit di phishing dedicati e tool di red team facili da utilizzare, che abbassano la soglia tecnica necessaria per condurre operazioni sofisticate. Il rischio principale è l’accesso non autorizzato a dati sensibili, con possibili ulteriori compromissioni nell’organizzazione.
Per ridurre l’esposizione, una misura efficace è bloccare il device code flow tramite Conditional Access usando la condizione Authentication Flows. Se non è possibile disabilitarlo per tutti, è consigliabile adottare una allow list limitando l’uso a utenti approvati, specifici sistemi operativi o intervalli di IP controllati.