2026年初頭に初めて確認された「EvilTokens」インフラと酷似する、フルスペックのフィッシングサービス(PhaaS)パネル「ARToken」が見つかりました。ただしEvilTokensよりも侵害後のツールキットが広範かつ高度化しています。
ARTokenのReactシングルページアプリケーション(SPA)は80以上のAPIエンドポイントを備えており、デバイスコードフィッシング、Primary Refresh Token(PRT)による永続化、メールボックスの乗っ取り、ビジネスメール詐欺(BEC)の実行、SharePointからのデータ持ち出しなどが、洗練されたダッシュボードと専用のWindows向け「ARTBrowser」を通じて、加盟者(アフィリエイト)からアクセス可能になっています。
Talosによると、このパネルはあるダッシュボードドメインから配信されており、C2 APIであるspx.pamconj[.]comと紐づいています。また、おとりコンテンツの配信にはCloudflare Workersが使われていました。
SPAはクライアント側のコードをすべてブラウザに送信する仕組みであるため、研究者は認証を行うことなく1.7MBのJavaScriptバンドルを抽出し、APIルートやクライアント側のロジックを洗い出すことができました。
この分析により、侵害後の全容が明らかになりました。/device/start、/prt/setup、/prt/refresh、/prt/renew、/prt/cookieといったエンドポイント、トークンのエクスポート/インポート機能、受信トレイのルール操作、大量BCC送信、SharePointおよびOneDriveでのファイル操作、そしておとりコンテンツを展開するためのCloudflare Workersの自動化などです。
技術的に見て重要な共通点が、ARTokenをEvilTokensと結びつけています。ARTokenの/device/startの応答仕様は、device_code、user_code、verification_uri、expires_inを返しますが、これはSekoiaが文書化したものと同じJSONパラメータおよび意味論を使用しています。

両プラットフォームとも、clientMode: “broker”という非標準のパラメータを使用しています。これはMicrosoftの認証ブローカー(WAM)フローを発動させてPRTを取得するもので、パスワードのリセットを乗り越えて永続化することを可能にします。
Cisco Talosは、フルスペックのフィッシングサービス(PhaaS)運用パネル「ARToken」を特定しました。このパネルは、インフラ、APIの仕様、運用パターンの点でEvilTokensプラットフォームと共通しています。
EvilTokensとつながるARTokenパネル
展開の際の慣習、Cloudflare Workersの命名パターン、そしてマルチテナント型のPhaaSビジネスモデル(サブスクリプションによるアクセス、Telegram通知、テンプレートエディタ)も、この関連性を裏付けています。

ARTokenは、これまで報告されていたEvilTokensよりも著しく高度な、クライアント側の解析対策スタックを実装しています。Talosは、User-Agentやnavigator.webdriverのチェック、機能フィンガープリンティング、ウィンドウサイズによる制御、(マウスやタッチの動きを要求する)操作テレメトリなど、7層に及ぶボット検知の仕組みを確認しました。
ペイロードは、これまでのサンプルで見られたAES-GCM(Web Crypto)方式ではなく、16バイトの鍵によるXOR暗号化が施されており、実行時に復号される仕組みです。これにより静的検知が一段と難しくなっています。これらの段階的なチェックが組み合わさることで、自動化されたクローラーやサンドボックスによる解析をブロックし、防御側にとってのハードルを上げています。
Talosが確認した実際の運用手口やおとりコンテンツからは、標的が精緻に絞り込まれている様子がうかがえます。ほぼ同一の請求書照会メッセージが2件確認されており、いずれもウィスコンシン州の正規業者になりすまし、既存の取引関係を悪用して、ライフサイエンス企業の買掛金担当者にメールを届けていました。

表示されたSharePointのリンクは本物らしく見えましたが、実際のhrefは攻撃者が管理するMicrosoft 365ワークスペースを指しており、SharePointの信頼性を悪用することで単純な評判チェックを回避していました。
これらのメッセージはSPF、DKIM、DMARCの認証にも失敗していました。加えて、返信を利用した誘導(reply-pivoting)、16進数文字列やインライン画像といったメッセージごとに変化する加工、そしてデバイスコードを表示した後にmicrosoft.com/deviceloginへ被害者を誘導する手口も使われていました。
トークンの窃取にとどまらず、ARTokenのダッシュボードはPRTによる永続化を売りにしているほか、高度なBECツール群も備えています。メール監視機能(「Box Monitor」)、受信トレイルールの自動作成、トークンの一括エクスポート/インポート、役割に応じた権限を持つ共同利用可能なトークンリンク、地域に応じて動的に切り替わるおとりコンテンツのプレースホルダー、そして本格的なSharePointサイト管理機能などです。
さらに、Cloudflare APIとの統合機能により、運用者はパネルから直接Workersを展開・管理できるようになっており、おとりコンテンツの作成からホスティングまでを一気通貫で行えます。
防御側が留意すべきは、デバイスコードフィッシングとPRTによる永続化を組み合わせた手口が特に危険だという点です。PRTが失効させられるか、セッションが無効化されない限り、この手口はMFAを回避し、パスワードのリセットをも生き延びる可能性があります。
組織は、不審なデバイス登録の監視、PRTのライフサイクルの監査、条件付きアクセスポリシーの徹底、そして想定外のSharePointリンクへの警戒強化に努めるべきです。
翻訳元: https://gbhackers.com/eviltokens-linked-artoken-panel/