ANY.RUN beschreibt den beobachteten Angriff als Beispiel dafür, dass ein Phishing-Link bei einer ersten Prüfung harmlos wirken kann und dennoch in eine Übernahme von Microsoft-365-Konten mündet. Die Kampagne setzt auf Microsoft Device Code Phishing: Betroffene werden dazu gebracht, einen legitimen Microsoft-Anmeldefluss abzuschließen und damit den Zugriff auf ihr Konto zu autorisieren, ohne dass Angreifer das Passwort unmittelbar stehlen müssen.

Die technische Tarnung beginnt bereits bei der Auslieferung der Seite. Laut ANY.RUN bleibt der eigentliche Angriff verborgen, bis die Seite im Browser geöffnet wird. Das HTML der Phishing-Seite ist mit AES-GCM verschlüsselt und wird erst nach der Entschlüsselung im Browser sichtbar, wenn der Inhalt im DOM gerendert wird. Dadurch können statische URL-Prüfungen und netzwerkbasierte Schutzmechanismen zwar die anfängliche Serverantwort erfassen, aber nicht unbedingt den Inhalt, den das Opfer tatsächlich zu sehen bekommt.

Den vollständigen Ablauf hat ANY.RUN nach eigenen Angaben in seiner Interactive Sandbox rekonstruiert. Dort lasse sich nachvollziehen, was nach der Entschlüsselung im Browser geschieht. Analysten könnten beobachten, wie der Phishing-Inhalt im DOM erscheint, die Veränderung einer Fetch-/XHR-Anfrage zuordnen und den verwendeten Microsoft-Gerätecode bis zum Endpunkt “/api/device/start” zurückverfolgen.

ANY.RUN verortet die jüngste EvilTokens-Aktivität vor allem in den USA und Europa. Betroffen seien dabei Unternehmen aus den Bereichen Technologie, Fertigung, Bildung, Bankwesen, Beratung, Finanzdienstleistungen und Managed Security Provider. Zusätzlich verweist der Anbieter auf eigene Sandbox-Einreichungsdaten von 15.000 Organisationen: Demnach lag die Phishing-Exposition im Jahr 2026 bei 75,6 Prozent in der Beratung, 72,8 Prozent in den Finanzdienstleistungen, 71,9 Prozent in der Fertigung, 67,9 Prozent in der Technologie, 66,7 Prozent im Bankwesen und 66,1 Prozent bei MSSPs.

Nach Einschätzung von ANY.RUN ist verborgenes Phishing gerade für diese Sektoren besonders riskant. Der Anbieter warnt, dass bereits ein kompromittiertes Microsoft-365-Konto sensible Daten offenlegen, Business-E-Mail-Compromise und Betrug ermöglichen sowie aufwendige Reaktionsmaßnahmen auslösen könne. Je länger der Angriff verborgen bleibe, desto größer sei die Wahrscheinlichkeit, dass aus einem einzelnen kompromittierten Konto ein größerer Sicherheitsvorfall im Unternehmen werde.

Als Gegenmaßnahme nennt ANY.RUN vor allem die Ausführung verdächtiger Links in einer Sandbox mit Einblick in Browserdaten. Die Untersuchung in der Interactive Sandbox solle direkte Belege dazu liefern, wie sich die Seite verhält, welche Anfragen sie stellt und welche Artefakte sich für Eindämmung und Erkennung nutzen lassen. Zudem werde automatisch ein Bericht mit KI-Zusammenfassung und empfohlenen nächsten Schritten erstellt, damit Ermittlungsergebnisse zwischen Analysten schneller übergeben werden können.

Für Sicherheitsverantwortliche ist die Kernaussage des Falls laut ANY.RUN klar: Moderne Phishing-Angriffe offenbaren sich nicht mehr vollständig in der E-Mail oder in der ersten URL-Antwort. Wenn die Sicht erst im Browser endet, müssen Entscheidungen im Sicherheitsbetrieb mit unvollständiger Beweislage getroffen werden.