EvilTokensは、盗まれたMicrosoft 365トークンとAIを活用して、ビジネスメール詐欺(BEC)を大規模に実行するための統合工場となる新しいフィッシング・アズ・ア・サービス(PhaaS)プラットフォームです。
デバイスコードフィッシング、カスタムツール、大規模言語モデルを組み合わせることで、スキルの低い~中程度の脅威アクターが数日ではなく数分で高度にカスタマイズされたBEC作戦を実行することができます。
2026年2月中旬にTelegramで初めて確認されたEvilTokensは、「eviltokensadmin」というハンドルを使用するオペレーターによって販売されており、AiTMフィッシングとBEC詐欺に焦点を当てたプライベートチャネルで扱われています。
オペレーターは複数のTelegramリソースを使用しており、サポート用のメインアカウント、製品更新とチュートリアル用のチャネル、支払い、アフィリエイト管理、ランディングページ展開(Cloudflare Workersなど)、およびアンチボットサービス用のいくつかのボットを備えています。
EvilTokensは3つのコア製品を提供しています:600USDの「B2B送信者」、1,500USDの「Office 365キャプチャリンク」、および1,000USDのSMTP送信者です。
2026年3月3日、SekοiaのTDRは最初にPhaaS提供を通じてEvilTokensを特定しました。これはeviltokensadminがプライベートTelegramチャネルで広告を出していました。
Office 365キャプチャリンクは実際のデバイスコードフィッシングキットであり、生涯パネルアクセスを許可する1回限りの料金と、フィッシングページコードおよびバックエンドAPIキーの追加月額500USDライセンスがあります。
支払いはNOWPaymentsを通じて処理され、アフィリエイトがTelegramボット経由で複数の仮想通貨を使用してバランスをトップアップすることができます。
EvilTokensが盗まれたMicrosoft 365を使用
アフィリエイトが大規模に運用するのを支援するため、EvilTokens管理者はmachinemind-market[.]comを通じて「Portal Browser」または「ET Browser」と呼ばれるカスタムブラウザも販売しています。
このブラウザにより、攻撃者は盗まれたOAuthトークンを使用して多くのMicrosoft 365アカウントを並行して開くことができ、Microsoft Admin、Azure、OneDrive、SharePoint、およびTeamsをサポートしていると主張しており、トークンを自動的に更新してアクセスを維持します。
EvilTokensは構造化されたBEC詐欺チームをサポートするように設計されており、PhaaS インターフェース内でトークン販売の管理を有効にする可能性もあります。
Sekοiaは、このブラウザがMicrosoft OAuthトークン管理における強い専門知識を反映しており、商業化される前にオペレーター独自のBEC作戦用に最初に構築された可能性が高いと評価しています。
この動きは、カスタムツールがPhaaS、MaaS、その他の「レンタル用キット」エコシステムなどのアズ・ア・サービス提供にリパッケージされるより広い犯罪パターンに適合しています。
2つのパブリックGitHubリポジトリでリークされたコードは、Railway.appへのホスティング用にフィッシングキットをアップロードしたEvilTokensアフィリエイトに属しているようです。
PHPベースのフロントエンドはDocuSignまたはOutlookを模倣するフィッシングページをレンダリングし、トラフィックを特定のエンドポイント経由で中央バックエンドに転送し、Microsoft デバイスコードフローを開始・監視し、対象メールをリダイレクト用に登録します。
アンチボット チェックはUser-Agentフィルタリングと、軽量なセーフガードとして機能するタイムベースのSHA256トークンに依存しています。
これらのリポジトリからピボットすることで、研究者はバックエンドドメインに関連付けられたクリーンなアフィリエイト管理パネルにアクセスしました。
パネルにより、アフィリエイトはハイジャックされたセッションを監視し、収集されたアクセストークンと更新トークンを表示し、チーム運用用のユーザーを追加・管理し、組み込みの収集機能を使用してメールボックスコンテンツを検索または流出させることができます。
Outlookを模倣するWebmailインターフェースはトークンを直接使用し、クッキーやセッションリプレイを回避し、技術的スキルが劣る攻撃者向けのBEC操作を合理化します。
AI駆動型BEC分析パイプライン
EvilTokensの最も破壊的な機能は、侵害後のAI駆動型パイプラインと分析およびBEC計画です。
被害者がMicrosoftデバイスコードフローを完了すると、バックエンドはトークンをキャプチャし、より広いアクセスのためにそれらを交換し(プライマリ更新トークンを含む)、Microsoft Graph APIクエリを実行して転送ルール、財務関連フォルダ、重要な役割、会議、および組織構造をマッピングします。
すべてのこの偵察は、一連の大規模言語モデルプロンプトの前に付加される詳細なレポートにコンパイルされます。
第1段階では、最大5,000のメールがGroq APIを通じてllama-3.1-8b-instantモデルを使用して取り込まれ、財務エクスポージャー、リスクのある支払いスレッド、および主要な連絡先を特定します。
第2段階では、結果は2番目のプロンプト(llama-3.3-70b-versatileで駆動)にフィードされ、リスク報告書を合成し、攻撃シナリオを提案し、侵害されたアカウントから送信する準備ができた3つのカスタマイズされたBECメール草案を生成します。
パイプラインはまた、OpenAIのgpt-4o-miniを使用して非英語メールを自動的に英語に翻訳し、オペレーターの言語障壁をさらに低くします。
最終出力統計は盗まれたデータ、BECスコア、偵察サマリー、および完全なHTMLレポートはトークンから派生したクッキーとともに攻撃者のTelegramボットにプッシュバックされ、パスワードとMFAをバイパスするワンクリックブラウザアクセスを可能にします。
初期フィッシングからメールボックスインテリジェンスと事前に作成されたBECルアーへのパスを完全に自動化することで、EvilTokensは攻撃者の滞在時間と防御者が対応するための窓を大幅に削減します。
BEC キャンペーンに影響を与えるために必要なスキルを低下させ、Microsoft 365テナントに対して説得力のあるコンテキストが豊富な詐欺を実行できるようにするより広い範囲の脅威アクターを有効にします。
SekοiaのThreat Detection & Research チームは、EvilTokensが、このようなAI強化の侵害後ツールを統合する最初のPhaaS であると信じており、BECエコシステムの重要な進化を示しています。
EvilTokens駆動型の侵入に直面する組織は、より現実的で、より適切なタイミングのBEC試行を予期する必要があり、このAI対応詐欺の新しい波に対応するために、トークン保護、Graph API監視、およびメールボックス異常検出を強化する必要があります。
翻訳元: https://gbhackers.com/eviltokens-uses-microsoft-365/
