In early March 2026, we uncovered #EvilTokens, a new #PhaaS offering device code phishing pages and AI-driven features to automate and scale BEC workflows.
Part 1 of our analysis provides a technical analysis of the EvilTokens kit ⬇️
https://blog.sekoia.io/new-widespread-eviltokens-kit-device-code-phishing-as-a-service-part-1/
Rapidly adopted by cybercriminals, we already observed multiple EvilTokens cases in @sekoia_io 's telemetry, and hunted various attachments that delivered its pages worldwide.
Part 2 will focus on the AI-augmented pipeline that significantly facilitates and scales BEC fraud.
📢 EvilTokens : nouveau kit PhaaS de phishing par device code Microsoft découvert en mars 2026
📝 ## 🔍 Contexte
Rapport publié par Sekoia Threat Detection & Research (TDR) le 30 mars 2026, initia...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-30-eviltokens-nouveau-kit-phaas-de-phishing-par-device-code-microsoft-decouvert-en-mars-2026/
🌐 source : https://blog.sekoia.io/new-widespread-eviltokens-kit-device-code-phishing-as-a-service-part-1/
#BEC #EvilTokens #Cyberveille
🔍 Contexte Rapport publié par Sekoia Threat Detection & Research (TDR) le 30 mars 2026, initialement distribué en privé le 25 mars 2026. L’analyse porte sur EvilTokens, un nouveau kit de Phishing-as-a-Service (PhaaS) découvert en mars 2026 via la surveillance de communautés cybercriminelles axées sur le phishing. 🎯 Description de la menace EvilTokens est un kit PhaaS clé en main ciblant Microsoft 365 via la technique de device code phishing, exploitant le flux OAuth 2.0 Device Authorization Grant. Contrairement aux plateformes AitM classiques, EvilTokens incite les victimes à entrer un code utilisateur sur la page légitime de Microsoft, permettant à l’attaquant de récupérer des access tokens et refresh tokens valides.
Sekoia.io
crep1x
The Threat Codex
CyberVeille.ch