ARToken Terungkap, Platform Phishing-as-a-Service Baru yang Bantu Peretas Bobol Microsoft 365

Platform Phishing-as-a-Service (PhaaS) baru bernama ARToken ditemukan memiliki keterkaitan erat dengan layanan phishing EvilTokens, sekaligus mengungkap berbagai kemampuan canggih yang dirancang untuk membobol akun Microsoft 365.
Peneliti dari Cisco Talos menemukan platform tersebut saat melakukan investigasi insiden keamanan. Dari hasil analisis terhadap panel manajemen berbasis React yang disebut ARToken Panel, mereka menemukan lebih dari 80 endpoint API yang membuka gambaran mengenai operasi phishing berskala besar yang sebelumnya belum terdokumentasi.
Mencuri Token Autentikasi Microsoft 365
Tidak seperti kit phishing biasa yang hanya mencuri username dan password, ARToken berfokus pada pencurian token autentikasi Microsoft 365.
Platform ini memungkinkan pelaku untuk:
- mencuri token autentikasi Microsoft 365;
- memperoleh Primary Refresh Token (PRT) agar akses tetap bertahan dalam jangka panjang;
- mengakses Outlook, SharePoint, dan OneDrive korban;
- mengirim email menggunakan akun korban;
- membuat aturan (Inbox Rules) untuk menyembunyikan atau meneruskan email secara otomatis;
- memantau banyak mailbox berdasarkan kata kunci tertentu;
- mengunduh lampiran email;
- mengelola file di SharePoint maupun OneDrive.
Kemampuan tersebut membuat ARToken sangat efektif digunakan dalam serangan Business Email Compromise (BEC) maupun pencurian data perusahaan.
Diduga Merupakan Afiliasi EvilTokens
Cisco Talos menemukan berbagai kesamaan teknis antara ARToken dan EvilTokens.
Beberapa di antaranya meliputi:
- penggunaan API Microsoft Device Code Authentication yang identik;
- endpoint untuk mengelola Primary Refresh Token (PRT);
- pemanfaatan Cloudflare Workers sebagai infrastruktur phishing;
- model layanan multi-tenant yang memungkinkan banyak afiliasi menjalankan kampanye masing-masing.
Temuan tersebut memperkuat dugaan bahwa ARToken merupakan bagian dari ekosistem EvilTokens atau setidaknya dikembangkan oleh kelompok yang sama.
Memanfaatkan Device Code Phishing
ARToken memanfaatkan teknik Device Code Phishing, metode yang kini semakin populer untuk menyerang akun Microsoft 365.
Dalam skenario ini, korban diarahkan memasukkan device code resmi milik Microsoft melalui halaman login Microsoft yang sah.
Karena proses autentikasi berlangsung langsung di infrastruktur Microsoft, sistem kemudian menerbitkan token akses kepada pelaku, bukan kepada korban.
Teknik ini sangat berbahaya karena mampu melewati perlindungan Multi-Factor Authentication (MFA) tanpa perlu mencuri kode OTP.
Fitur Baru yang Lebih Canggih
Cisco Talos juga menemukan sejumlah kemampuan baru yang belum pernah dilaporkan sebelumnya.
Platform ini memungkinkan operator untuk:
- memantau beberapa mailbox sekaligus;
- mengimpor token hasil pencurian dari sumber lain;
- berbagi akses akun hasil kompromi dengan anggota tim lain;
- menyembunyikan jejak melalui aturan inbox yang otomatis menghapus email tertentu;
- menampilkan halaman phishing yang berubah sesuai lokasi geografis korban.
Selain itu, email phishing yang diamati menyamar sebagai tagihan (invoice) dari vendor terpercaya. Menariknya, tautan yang ditampilkan tampak mengarah ke SharePoint resmi, padahal sebenarnya membawa korban ke tenant Microsoft 365 milik penyerang yang dibuat menyerupai layanan asli.
AI Mulai Digunakan untuk Mempermudah Penipuan
Laporan sebelumnya mengenai EvilTokens juga menunjukkan bahwa platform tersebut telah memanfaatkan Artificial Intelligence (AI) dan Large Language Model (LLM).
Teknologi tersebut digunakan untuk:
- menganalisis isi mailbox korban;
- menilai potensi keuntungan finansial;
- menyusun email BEC secara otomatis;
- menerjemahkan email korban ke berbagai bahasa.
Dengan otomatisasi tersebut, pelaku dapat menjalankan operasi phishing dalam skala yang jauh lebih besar dengan usaha yang lebih sedikit.
Organisasi Perlu Meningkatkan Kewaspadaan
Maraknya serangan berbasis device code phishing menunjukkan bahwa metode autentikasi modern pun tetap memiliki celah jika dimanfaatkan melalui rekayasa sosial.
Organisasi disarankan untuk:
- membatasi penggunaan Device Code Flow jika tidak dibutuhkan;
- memantau aktivitas login yang tidak biasa;
- menerapkan Conditional Access Policy yang lebih ketat;
- memberikan edukasi kepada karyawan mengenai teknik phishing terbaru, khususnya yang memanfaatkan halaman login resmi Microsoft.
Sumber: Cisco Talos








