AI-Gestuurde Device Code Phishing Treft Meer Dan 340 Organisaties
Microsoft meldt een snel escalerende, AI-gedreven phishingcampagne die via OAuth device code flow MFA op grote schaal omzeilt. Meer dan 340 organisaties in korte tijd gecompromitteerd. Lees hoe je je verdedigt.
Een phishingcampagne gericht op meer dan 340 Microsoft 365-organisaties in de VS, Canada, Australië, Nieuw-Zeeland en Duitsland is actief sinds 19 februari 2026, waarbij het aantal nieuwe gevallen in rap tempo toeneemt. Op 6 april publiceerde de Microsoft Security Blog een gedetailleerde analyse van de operatie, die gebruik maakt van generatieve AI en volledige end-to-end automatisering om zakelijke e-mailaccounts te compromitteren op een schaal die eerdere device code-aanvallen nooit bereikten. Voor marketing- en groeiteams die dagelijks op Microsoft 365 vertrouwen, is de dreiging direct: gestolen tokens worden ingezet voor e-mailexfiltratie en persistentie, vaak via kwaadaardige inboxregels die communicatie omleiden of verbergen.
Wat Deze Aanval Anders Maakt
Device Code Authentication is een legitieme OAuth-flow die is ontworpen voor apparaten met beperkte invoermogelijkheden, zoals smart-tv's of printers. Bij deze methode krijgt een gebruiker een korte code te zien en wordt gevraagd die op een apart apparaat in een browser in te voeren om de authenticatie te voltooien. Aanvallers misbruiken dit kenmerk om traditionele MFA-beveiliging te omzeilen door de authenticatie los te koppelen van de oorspronkelijke sessie.
Wat deze campagne van 2026 onderscheidt van eerdere pogingen, is de AI-laag. Deze campagne stapt af van statische, handmatige scripts en maakt gebruik van een AI-gestuurde infrastructuur met meerdere end-to-end automatiseringen. De cruciale technische vernieuwing is dynamische codegeneratie: bij oudere, statische phishingpogingen voegde de aanvaller een vooraf gegenereerde code toe aan de e-mail, wat slechts een klein tijdvenster voor succes bood. De beoogde gebruiker moest de e-mail openen, doorverwijzingen volgen en de authenticatie afronden, en dat alles vóór de standaard timer van 15 minuten verstreek. Opende de gebruiker de e-mail zelfs maar 20 minuten na verzending, dan mislukte de aanval automatisch.
Dynamische codegeneratie omzeilt het verlooptijdstip van 15 minuten door de code precies op het moment te genereren waarop de gebruiker op de phishinglink klikt. Zo blijft de authenticatieflow geldig. Zodra een slachtoffer de code invoert op de legitieme inlogpagina van Microsoft, neemt de sessie van de aanvaller de rechten van de gebruiker over, waarbij MFA wordt omzeild en langdurige toegang wordt verkregen.
Omvang en Snelheid van de Campagne
De cijfers zijn opvallend. "Sinds 15 maart 2026 zien we elke 24 uur tussen de 10 en 15 afzonderlijke campagnes van start gaan", vertelde Microsoft VP of Security Research Tanmay Ganacharya aan . "Elke campagne wordt op grote schaal verspreid en richt zich op honderden organisaties met sterk gevarieerde en unieke payloads, wat detectie op basis van patronen bemoeilijkt."
AI-Gestuurde Device Code Phishing Treft Meer Dan 340 Organisaties
Microsoft meldt een snel escalerende, AI-gedreven phishingcampagne die via OAuth device code flow MFA op grote schaal omzeilt. Meer dan 340 organisaties in korte tijd gecompromitteerd. Lees hoe je je verdedigt.
Een phishingcampagne gericht op meer dan 340 Microsoft 365-organisaties in de VS, Canada, Australië, Nieuw-Zeeland en Duitsland is actief sinds 19 februari 2026, waarbij het aantal nieuwe gevallen in rap tempo toeneemt. Op 6 april publiceerde de Microsoft Security Blog een gedetailleerde analyse van de operatie, die gebruik maakt van generatieve AI en volledige end-to-end automatisering om zakelijke e-mailaccounts te compromitteren op een schaal die eerdere device code-aanvallen nooit bereikten. Voor marketing- en groeiteams die dagelijks op Microsoft 365 vertrouwen, is de dreiging direct: gestolen tokens worden ingezet voor e-mailexfiltratie en persistentie, vaak via kwaadaardige inboxregels die communicatie omleiden of verbergen.
Wat Deze Aanval Anders Maakt
Device Code Authentication is een legitieme OAuth-flow die is ontworpen voor apparaten met beperkte invoermogelijkheden, zoals smart-tv's of printers. Bij deze methode krijgt een gebruiker een korte code te zien en wordt gevraagd die op een apart apparaat in een browser in te voeren om de authenticatie te voltooien. Aanvallers misbruiken dit kenmerk om traditionele MFA-beveiliging te omzeilen door de authenticatie los te koppelen van de oorspronkelijke sessie.
Wat deze campagne van 2026 onderscheidt van eerdere pogingen, is de AI-laag. Deze campagne stapt af van statische, handmatige scripts en maakt gebruik van een AI-gestuurde infrastructuur met meerdere end-to-end automatiseringen. De cruciale technische vernieuwing is dynamische codegeneratie: bij oudere, statische phishingpogingen voegde de aanvaller een vooraf gegenereerde code toe aan de e-mail, wat slechts een klein tijdvenster voor succes bood. De beoogde gebruiker moest de e-mail openen, doorverwijzingen volgen en de authenticatie afronden, en dat alles vóór de standaard timer van 15 minuten verstreek. Opende de gebruiker de e-mail zelfs maar 20 minuten na verzending, dan mislukte de aanval automatisch.
Dynamische codegeneratie omzeilt het verlooptijdstip van 15 minuten door de code precies op het moment te genereren waarop de gebruiker op de phishinglink klikt. Zo blijft de authenticatieflow geldig. Zodra een slachtoffer de code invoert op de legitieme inlogpagina van Microsoft, neemt de sessie van de aanvaller de rechten van de gebruiker over, waarbij MFA wordt omzeild en langdurige toegang wordt verkregen.
Omvang en Snelheid van de Campagne
De cijfers zijn opvallend. "Sinds 15 maart 2026 zien we elke 24 uur tussen de 10 en 15 afzonderlijke campagnes van start gaan", vertelde Microsoft VP of Security Research Tanmay Ganacharya aan . "Elke campagne wordt op grote schaal verspreid en richt zich op honderden organisaties met sterk gevarieerde en unieke payloads, wat detectie op basis van patronen bemoeilijkt."
Bouw, non-profitorganisaties, vastgoed, maakindustrie, financiële dienstverlening, gezondheidszorg, juridische sector en overheid behoren tot de meest getroffen sectoren. Geen enkele branche is buiten schot. De tooling achter de campagne, EvilTokens, wordt sinds medio februari 2026 aangeboden als een Phishing-as-a-Service-kit waarmee kopers MFA kunnen omzeilen en zich stilzwijgend kunnen authenticeren als het slachtoffer bij de Microsoft 365-omgeving van de organisatie.
Volgens het Franse cybersecuritybedrijf Sekoia biedt EvilTokens "een kant-en-klare Microsoft device code phishing-kit en een reeks geavanceerde functies voor BEC-aanvallen, waaronder toegangsmisbruik, e-mailharvesting, verkenningsfunctionaliteiten, een ingebouwde webmail-interface en AI-gestuurde automatisering."
Hoe Aanvallers Finance- en Directieaccounts Targeten
De campagne behandelt niet alle gecompromitteerde accounts gelijk. Doorgaans vindt er 10 tot 15 dagen voor de daadwerkelijke phishingpoging een verkenningsfase plaats. Aanvallers gebruiken vervolgens AI om hypergepersonaliseerde phishingmails op te stellen die aansluiten bij de rol van het doelwit, met thema's als offerteaanvragen, facturen en productieprocessen.
Om geautomatiseerde URL-scanners en sandboxes te omzeilen, linken aanvallers niet rechtstreeks naar de uiteindelijke phishingsite. In plaats daarvan maken ze gebruik van een reeks doorverwijzingen via gecompromitteerde legitieme domeinen en serverless platforms met een hoge reputatie. Microsoft constateerde een zwaar gebruik van Vercel, Cloudflare Workers en AWS Lambda voor het hosten van de doorverwijzingslogica. Door deze domeinen te gebruiken, valt phishingverkeer samen met legitiem zakelijk cloudverkeer, waardoor eenvoudige domeinblokkades worden omzeild.
Na de eerste inbraak registreerden aanvallers in sommige gevallen binnen 10 minuten nieuwe apparaten om een Primary Refresh Token voor langdurige persistentie te genereren. In andere gevallen wachtten ze uren voordat ze gevoelige e-mailgegevens buitmaakten of inboxregels aanmaakten, zoals het automatisch doorsturen van berichten met "salarisadministratie" of "factuur" in de onderwerpregel.
Activiteit na de inbraak laat een consistente focus zien op finance-gerelateerde profielen, met geautomatiseerde e-mailexfiltratie in die accounts, bevestigde Ganacharya.
Waarom Standaard MFA Dit Niet Tegenhoudt
Dit is het onderdeel dat de meeste teams verrast. Deze aanval onderschept Microsoft 365-toegangstokens zonder dat slachtoffers inloggegevens hoeven in te voeren op een nagemaakt inlogscherm, waardoor de authenticatie niet te onderscheiden is van een echte aanmelding. Multifactorauthenticatie biedt geen bescherming: het slachtoffer voltooit de MFA-uitdaging zelf, namens de aanvaller, en de resulterende refresh tokens blijven geldig zelfs na een wachtwoordreset, wat herstel bemoeilijkt.
Anders dan bij traditionele credential harvesting worden slachtoffers via legitieme Microsoft-authenticatiepagina's geleid, waardoor het voor security operations centers aanzienlijk moeilijker is om de inbraak in real time te detecteren.
Deze aanval is een directe escalatie ten opzichte van de Storm-2372-campagne die Microsoft in februari 2025 documenteerde, waarbij handmatige social engineering via berichtenapps en Teams-uitnodigingen centraal stond. De campagne van 2026 maakt de stap naar geïndustrialiseerde automatisering en AI-integratie over de gehele keten: verkenning, lokaasopmaak, infrastructuur opzetten en exploitatie.
Wat Zakelijke Teams Nu Moeten Doen
Phishing-resistente MFA-methoden, specifiek FIDO2-hardwaresleutels en op certificaten gebaseerde authenticatie, blokkeren deze aanval wel, omdat zij de authenticatie koppelen aan het fysieke apparaat. Standaard TOTP-codes en pushnotificaties bieden die bescherming niet.
Beperk de device code flow in Microsoft Entra ID. Conditional Access-beleid kan de device code-authenticatieflow blokkeren voor gebruikers die daar geen legitieme zakelijke behoefte aan hebben.
Monitor op het aanmaken van inboxregels na een inbraak. Microsoft Defender XDR en Entra ID Protection bevatten nu detecties voor afwijkende device code-authenticatie, waaronder verdachte aanmeldingen en het aanmaken van inboxregels in combinatie met Graph API-verkenning na een inbraak.
Train finance- en directieteams specifiek. Rolgericht lokaas dat verwijst naar echte werkprocessen, daadwerkelijke functietitels en geloofwaardige zakelijke context vormt een fundamenteel andere dreiging dan generieke phishing. Standaard bewustwordingstraining alleen is niet voldoende.
Voor elke organisatie die Microsoft 365 als e-mailomgeving gebruikt, reikt de operationele impact van een gecompromitteerde inbox veel verder dan dataverlies. Aangetaste verzendgeschiedenissen, gemanipuleerde doorstuurregels en gekaapt facturatieverkeer kunnen de verzendreputatie en deliverability maandenlang schaden. E-mailbeveiliging behandelen als een identiteitsprobleem, en niet alleen als een contentfilterprobleem, is inmiddels een bedrijfskritische vereiste.
Bouw, non-profitorganisaties, vastgoed, maakindustrie, financiële dienstverlening, gezondheidszorg, juridische sector en overheid behoren tot de meest getroffen sectoren. Geen enkele branche is buiten schot. De tooling achter de campagne, EvilTokens, wordt sinds medio februari 2026 aangeboden als een Phishing-as-a-Service-kit waarmee kopers MFA kunnen omzeilen en zich stilzwijgend kunnen authenticeren als het slachtoffer bij de Microsoft 365-omgeving van de organisatie.
Volgens het Franse cybersecuritybedrijf Sekoia biedt EvilTokens "een kant-en-klare Microsoft device code phishing-kit en een reeks geavanceerde functies voor BEC-aanvallen, waaronder toegangsmisbruik, e-mailharvesting, verkenningsfunctionaliteiten, een ingebouwde webmail-interface en AI-gestuurde automatisering."
Hoe Aanvallers Finance- en Directieaccounts Targeten
De campagne behandelt niet alle gecompromitteerde accounts gelijk. Doorgaans vindt er 10 tot 15 dagen voor de daadwerkelijke phishingpoging een verkenningsfase plaats. Aanvallers gebruiken vervolgens AI om hypergepersonaliseerde phishingmails op te stellen die aansluiten bij de rol van het doelwit, met thema's als offerteaanvragen, facturen en productieprocessen.
Om geautomatiseerde URL-scanners en sandboxes te omzeilen, linken aanvallers niet rechtstreeks naar de uiteindelijke phishingsite. In plaats daarvan maken ze gebruik van een reeks doorverwijzingen via gecompromitteerde legitieme domeinen en serverless platforms met een hoge reputatie. Microsoft constateerde een zwaar gebruik van Vercel, Cloudflare Workers en AWS Lambda voor het hosten van de doorverwijzingslogica. Door deze domeinen te gebruiken, valt phishingverkeer samen met legitiem zakelijk cloudverkeer, waardoor eenvoudige domeinblokkades worden omzeild.
Na de eerste inbraak registreerden aanvallers in sommige gevallen binnen 10 minuten nieuwe apparaten om een Primary Refresh Token voor langdurige persistentie te genereren. In andere gevallen wachtten ze uren voordat ze gevoelige e-mailgegevens buitmaakten of inboxregels aanmaakten, zoals het automatisch doorsturen van berichten met "salarisadministratie" of "factuur" in de onderwerpregel.
Activiteit na de inbraak laat een consistente focus zien op finance-gerelateerde profielen, met geautomatiseerde e-mailexfiltratie in die accounts, bevestigde Ganacharya.
Waarom Standaard MFA Dit Niet Tegenhoudt
Dit is het onderdeel dat de meeste teams verrast. Deze aanval onderschept Microsoft 365-toegangstokens zonder dat slachtoffers inloggegevens hoeven in te voeren op een nagemaakt inlogscherm, waardoor de authenticatie niet te onderscheiden is van een echte aanmelding. Multifactorauthenticatie biedt geen bescherming: het slachtoffer voltooit de MFA-uitdaging zelf, namens de aanvaller, en de resulterende refresh tokens blijven geldig zelfs na een wachtwoordreset, wat herstel bemoeilijkt.
Anders dan bij traditionele credential harvesting worden slachtoffers via legitieme Microsoft-authenticatiepagina's geleid, waardoor het voor security operations centers aanzienlijk moeilijker is om de inbraak in real time te detecteren.
Deze aanval is een directe escalatie ten opzichte van de Storm-2372-campagne die Microsoft in februari 2025 documenteerde, waarbij handmatige social engineering via berichtenapps en Teams-uitnodigingen centraal stond. De campagne van 2026 maakt de stap naar geïndustrialiseerde automatisering en AI-integratie over de gehele keten: verkenning, lokaasopmaak, infrastructuur opzetten en exploitatie.
Wat Zakelijke Teams Nu Moeten Doen
Phishing-resistente MFA-methoden, specifiek FIDO2-hardwaresleutels en op certificaten gebaseerde authenticatie, blokkeren deze aanval wel, omdat zij de authenticatie koppelen aan het fysieke apparaat. Standaard TOTP-codes en pushnotificaties bieden die bescherming niet.
Beperk de device code flow in Microsoft Entra ID. Conditional Access-beleid kan de device code-authenticatieflow blokkeren voor gebruikers die daar geen legitieme zakelijke behoefte aan hebben.
Monitor op het aanmaken van inboxregels na een inbraak. Microsoft Defender XDR en Entra ID Protection bevatten nu detecties voor afwijkende device code-authenticatie, waaronder verdachte aanmeldingen en het aanmaken van inboxregels in combinatie met Graph API-verkenning na een inbraak.
Train finance- en directieteams specifiek. Rolgericht lokaas dat verwijst naar echte werkprocessen, daadwerkelijke functietitels en geloofwaardige zakelijke context vormt een fundamenteel andere dreiging dan generieke phishing. Standaard bewustwordingstraining alleen is niet voldoende.
Voor elke organisatie die Microsoft 365 als e-mailomgeving gebruikt, reikt de operationele impact van een gecompromitteerde inbox veel verder dan dataverlies. Aangetaste verzendgeschiedenissen, gemanipuleerde doorstuurregels en gekaapt facturatieverkeer kunnen de verzendreputatie en deliverability maandenlang schaden. E-mailbeveiliging behandelen als een identiteitsprobleem, en niet alleen als een contentfilterprobleem, is inmiddels een bedrijfskritische vereiste.
