Im Unterschied zu weit verbreiteten Adversary-in-the-Middle-Seiten, die vor allem Zugangsdaten und Mehrfaktor-Authentifizierungs-Token abgreifen sollen, setzt O-UNC-066 laut Okta auf ein vom Operator gesteuertes Phishing-Kit mit einem PHP-Panel. Damit wird das Opfer nahezu in Echtzeit durch den vermeintlichen Passkey-Anmeldeprozess geführt.

Okta-Forscher Houssem Eddine Bordjiba zufolge registriert der Akteur Domains, die das Wort „Passkey“ enthalten, und nutzt sie im Rahmen einer sprachgestützten Phishing-Masche. Anschließend rufen die Angreifer gezielt Nutzer an und versuchen, sie davon zu überzeugen, dass sie einen neuen Passkey registrieren müssten. Die danach gezeigten Seiten seien mit dem Microsoft-Prozess zur Passkey-Registrierung praktisch identisch und erweckten den Eindruck, der Nutzer füge bei Microsoft einen eigenen Passkey hinzu.

Tatsächlich, so Okta, registriert der Angreifer dabei seinen eigenen Passkey am Microsoft-Konto des Opfers. Damit erhält er unberechtigten Zugriff. Das Identitätssicherheitsunternehmen erklärte zudem, der Operator könne die Nutzererfahrung während der laufenden Sitzung an die jeweiligen Anforderungen der Mehrfaktor-Authentifizierung anpassen, darunter TOTP, Push-Benachrichtigungen mit Zahlenabgleich und SMS-Einmalcodes. Der Anrufer könne in Echtzeit steuern und anpassen, welche Phishing-Seiten und Benachrichtigungen ein Ziel zu sehen bekommt.

Okta geht davon aus, dass der Akteur das Kit nutzt, um ein Opferkonto zu übernehmen und den Nutzer dazu zu bringen, eine vom Angreifer angestoßene Passkey-Registrierung zu genehmigen. Hinweise darauf, dass das Kit Nutzer an externe Identitätsanbieter wie Okta weiterleitet, gibt es nach Angaben des Unternehmens derzeit nicht.

Ein weiterer Bestandteil der Angriffskette ist ein Wiederherstellungsschlüssel mit einer Folge von zwölf Wörtern, ähnlich einer geheimen Wiederherstellungs- oder Merksatz-Phrase, wie sie typischerweise mit Kryptowährungs-Wallets verbunden ist. Okta bewertet diesen Schritt als Ablenkungsmanöver: Das Opfer soll mit dieser Aufgabe beschäftigt werden, während der Angreifer seinen eigenen Passkey im Microsoft-Konto registriert.

Nach Einschätzung von Okta nutzt das Phishing-Kit aus, dass viele Nutzer mit Passkey-Authentifizierung noch nicht vertraut sind. Bei einer echten Passkey-Registrierung würde ein Nutzer eher einen Systemdialog erwarten, um einen Passkey auf dem eigenen Gerät zu registrieren. Die in diesem Kit eingesetzten Passkey-Seiten ahmten diesen Ablauf nach, ohne tatsächlich einen Passkey des Nutzers zu registrieren.

Okta teilte außerdem mit, dass ein mit O-UNC-066 verknüpfter Bedrohungsakteur seit April 2026 eine Datenleck-Seite unter dem Namen Pink betreibt. Palo Alto Networks Unit 42 verfolgt diesen Cluster unter der Bezeichnung CL-CRI-1147 und beschreibt ihn als verbunden mit einem dezentralen Cybercrime-Kollektiv namens The Com, zu dem auch Scattered Spider, ShinyHunters und LAPSUS$ gehören.