Introduzione
Il 19 dicembre 2025, è stato scoperto un gruppo sospettato di essere allineato con la Russia, che ha lanciato una campagna di phishing che utilizza i flussi di autenticazione del codice del dispositivo per rubare le credenziali di Microsoft 365 delle vittime e condurre attacchi di takeover di account. La campagna, in corso dal settembre 2025, è stata tracciata da Proofpoint con il nome di UNK_AcademicFlare.
La campagna di phishing
Gli attacchi utilizzano indirizzi email compromessi appartenenti a organizzazioni governative e militari per colpire enti all’interno dei settori governativi, think tank, istruzione superiore e trasporti negli Stati Uniti e in Europa. Gli aggressori utilizzano questi indirizzi email compromessi per condurre outreach e costruire rapporti con le vittime, fingendo di condividere un link a un documento che include domande o argomenti per la riunione. Comunque, il link punta a un URL di Cloudflare Worker che mimica l’account Microsoft OneDrive compromesso e istruisce la vittima a copiare il codice fornito e cliccare su “Avanti” per accedere al documento.
La tecnica di attacco
La tecnica di attacco utilizza il flusso di autenticazione del codice del dispositivo per rubare le credenziali di Microsoft 365. Una volta che la vittima inserisce il codice fornito, il servizio genera un token di accesso che può essere recuperato dagli aggressori per prendere il controllo dell’account della vittima. La tecnica di attacco è stata documentata da Microsoft e Volexity nel febbraio 2025 e attribuita a cluster allineati con la Russia come Storm-2372, APT29, UTA0304 e UTA0307.
