Der offen konfigurierte Server lief laut Bericht auf der Adresse 185.163.204[.]7 in Budapest und wurde Ende April 2026 bei einem routinemäßigen Internetscan erfasst. Auf dem System liefen ein Evilginx-Adversary-in-the-Middle-Proxy und eine SimpleHelp-Remote-Konsole auf demselben Host. In der lesbaren .bash_history fand Lexfo zudem den Befehl „python3 -m http.server 8080“, der den öffentlich erreichbaren Verzeichnisindex freigegeben hatte.
Die Spuren führten laut Lexfo zu einem ägyptischen Akteur, den das Unternehmen als codemado verfolgt. Er sei seit 2018 in VoIP- und Hacking-Foren aktiv und betreibe inzwischen eine Microsoft-365-AiTM-Plattform auf picis[.]net. Den Zugang monetarisiere er über einen selbst geschriebenen Bulk-Mailer namens MaDoO Blaster. Seine Kampagne startete am 20. April und lief laut Bericht auch nach dem Fund des offenen Verzeichnisses am 30. April weiter; Wochen später seien neue Subdomains und ein erneuertes Wildcard-Zertifikat aufgetaucht. In den eigenen Bot-Protokollen fanden sich erfasste Anmeldungen von zwei geschäftlichen M365-Konten, eines aus Frankreich und eines aus Nordamerika. Wiederholte Erfassungen derselben Konten von verschiedenen IP-Adressen seien laut Lexfo damit vereinbar, dass der Betreiber gestohlene Token nach deren Ablauf erneuerte.
Codemado entwickelte das von ihm genutzte Framework laut Bericht nicht selbst. Seine Bash-Historie zeige vielmehr, dass er verschiedene Kits nebeneinander verglich. Auf dem Server lagen vier Evilginx-Varianten von zwei weiteren GitHub-Entwicklern, die sich ebenfalls als aktive Betreiber erwiesen.
Die erste Variante, red-queen, stammt laut Bericht vom nigerianischen Akteur mail-argenta. Dessen Abspaltung benennt die HTML-Attribute „crossorigin“ und „integrity“ um, um Prüfungen der Subresource Integrity zu umgehen, und ergänzt in http_proxy.go eine URL-Umschreibungsfunktion gegen pfadbasierte Erkennung. Zudem wird die E-Mail-Adresse des Opfers vorausgefüllt. Für abgegriffene Microsoft-Sitzungscookies setzt das Kit eine Gültigkeitsdauer von 31.536.000 Sekunden, also ein Jahr. Lexfo schreibt, eine abgefangene Anmeldung könne damit einen Passwortwechsel überdauern und ohne Conditional-Access-Richtlinie mit Continuous Access Evaluation über Monate nutzbar bleiben. Ein bereits vorkompiliertes evilginx2.exe liegt dem Repository bei. Ein dort gefundenes M365-Cookie trug ein Ablaufdatum zum 30. Juni 2027.
Mail-argenta wurde laut Lexfo über Infostealer-Protokolle deanonymisiert: Die Forscher fanden dort seine E-Mail-Adresse und ein Passwort. Dieses geleakte Passwort habe mit dem hart kodierten MySQL-Passwort in seinem Kraken-Panel übereingestimmt und sei kontenübergreifend wiederverwendet worden.
Die dritte Abspaltung, black-queen, erfasste laut Bericht deutlich mehr Konten als die beiden anderen und greift keine Passwörter ab. Ihr Autor konnte über das Pseudonym saroula01 hinaus nicht identifiziert werden. Technisch basiert das Kit auf Microsofts OAuth-Device-Code-Flow, also einem legitimen Anmeldeweg für Geräte mit eingeschränkter Eingabemöglichkeit. Der Angriff erzeugt einen echten Device Code, verpackt ihn in eine gefälschte, an den Authenticator angelehnte Seite und fordert das Ziel auf, ihn auf der echten Seite microsoft.com/devicelogin einzugeben. Das Opfer meldet sich damit auf einer echten Microsoft-Seite an und bestätigt die MFA selbst; das Backend des Angreifers fragt den Token-Endpunkt ab und übernimmt das Token in diesem Moment.
Lexfo betont, dass hier keine MFA „umgangen“ werde: Die Bestätigung erfolge auf echter Microsoft-Infrastruktur. Deshalb helfen auch Passkeys oder FIDO2-Schlüssel in diesem Szenario nicht, weil das Opfer die Anmeldung auf der echten Microsoft-Herkunft autorisiert. Microsoft hatte diese Methode bereits im Februar 2025 dokumentiert und eine damals beobachtete Kampagne mit mittlerer Sicherheit als russlandnah eingeschätzt. Inzwischen habe sich die Technik laut Quelle deutlich über staatlich unterstützte Nutzung hinaus verbreitet und treffe Hunderte Microsoft-365-Organisationen.
Saroula01s Variante lief nach Angaben von Lexfo über mehr als ein Jahr. In den Telegram-Bot-Protokollen zählten die Forscher zwischen Juni 2025 und Juli 2026 insgesamt 218 unterschiedliche erfasste Konten in einem Dutzend Ländern; rund 94 Prozent davon waren geschäftliche Postfächer. Eine kurzzeitig ins Repository eingecheckte und später gelöschte Token-Datei, die in der Git-Historie noch lesbar war, enthielt 97 aktive Microsoft-Tokens von drei dieser Opfer. Alle waren auf automatische Erneuerung gesetzt, einige bis zu 25-mal aktualisiert.
Für die Abwehr unterscheidet Lexfo klar zwischen beiden Angriffswegen. Gegen die Evilginx-Seite helfen phishing-resistente MFA, FIDO2 oder Passkeys, weil sie die Anmeldung an die echte Domain binden. Gegen den Missbrauch des Device-Code-Flows empfiehlt Microsoft laut Bericht, diesen wo immer möglich zu blockieren. Nötig sei zunächst eine Bestandsaufnahme über die Anmeldeprotokolle, dann das Sperren des Flows überall dort, wo er nicht benötigt wird, und vor der Durchsetzung ein Test im reinen Berichtsmodus. Zusätzlich verweist der Bericht auf IP-basierte Conditional-Access-Standortrichtlinien und Continuous Access Evaluation. Für die Erkennung nennt Lexfo in Entra-Anmeldeprotokollen Refresh-Token-Gewährungen mit der Microsoft-Office-Client-ID d3590ed6-52b3-4102-aeff-aad2292ab01c als auffällig, sofern dieser Desktop-Client normalerweise nicht verwendet wird; diese Ereignisse sollten mit unbekannten Quell-IP-Adressen abgeglichen werden.
