Um grupo suspeito de ter ligação com a Rússia está sendo associado a uma campanha de phishing que utiliza fluxos de autenticação por código de dispositivo para roubar credenciais de Microsoft 365 e realizar ataques de tomada de contas. Essa atividade, que ocorre desde setembro de 2025, é monitorada pela Proofpoint sob o nome UNK_AcademicFlare.
Os ataques têm como alvo organizações governamentais e militares, além de setores de transporte, educação superior e think tanks nos EUA e na Europa. Os hackers utilizam endereços de e-mail comprometidos para estabelecer contato com as vítimas, simulando reuniões ou entrevistas fictícias. Um link para um documento é enviado, levando a um URL que imita a conta Microsoft OneDrive do remetente comprometido. Ao seguir as instruções, a vítima é redirecionada para a página legítima de login da Microsoft, onde um token de acesso é gerado e recuperado pelos atacantes.
O phishing por código de dispositivo foi detalhado por Microsoft e Volexity em fevereiro de 2025, sendo atribuído a grupos alinhados à Rússia, como Storm-2372 e APT29. Nos últimos meses, a Amazon Threat Intelligence e a Volexity alertaram sobre a continuidade desses ataques. A Proofpoint sugere que o UNK_AcademicFlare é um ator de ameaça alinhado à Rússia, dada sua escolha de alvos especializados em assuntos russos.
O uso de kits de phishing como Graphish e ferramentas de equipe vermelha como SquarePhish tem facilitado esses ataques, permitindo que até mesmo atores com pouca habilidade técnica realizem campanhas sofisticadas. O objetivo principal é obter acesso não autorizado a dados sensíveis, que podem ser explorados para roubo de credenciais e comprometimento de contas.
Para mitigar os riscos do phishing por código de dispositivo, a criação de uma política de Acesso Condicional bloqueando o fluxo de código de dispositivo para todos os usuários é recomendada. Alternativamente, uma política de lista de permissões pode ser usada para permitir a autenticação por código de dispositivo apenas para usuários, sistemas operacionais ou faixas de IP aprovados.
Fonte:https://thehackernews.com/2025/12/russia-linked-hackers-use-microsoft-365.html
