Den 13. juli 2026 afdækkede forskere fra det franske sikkerhedsfirma Lexfo tre aktive Evilginx baserede phishing kampagner mod Microsoft 365, efter en angriber efterlod en Python webserver eksponeret med mappelisting...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the details of the recent Microsoft 365 phishing campaigns exposed by a misconfigured se. Article summary: On **July 13, 2026**, researchers at the French security firm **Lexfo** uncovered three live Evilginx-based phishing operations targeting Microsoft 365 after an attacker left a Python web server exposed on a public port . Topic tags: general, government, education, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, wat
I juli 2026 afslørede to parallelle opdagelser en bølge af avancerede phishing-angreb mod Microsoft 365, der omgår multi-faktor-godkendelse (MFA) ved hjælp af to fundamentalt forskellige metoder: adversary-in-the-middle (AiTM)-proxyangreb og misbrug af device code-godkendelse. Den første opdagelse kom fra en enkelt angribers fejl – en fejlkonfigureret Python-webserver, der eksponerede tre igangværende kampagner. Den anden kom fra forskere, der sporede en ny kommerciel phishing-platform kaldet Forg365. At forstå, hvordan hvert angreb fungerer, er det første skridt mod at implementere de rigtige forsvar, fordi løsningen på det ene ikke stopper det andet.
Den 13. juli 2026 afdækkede forskere fra det franske sikkerhedsfirma Lexfo tre aktive Evilginx-baserede phishing-operationer mod Microsoft 365, efter en angriber efterlod en Python-webserver eksponeret på en offentlig port med mappelisting aktiveret. Kommandoen python3 -m http.server 8080.bash_history. Fra den åbne mappe hentede Lexfo operatørens komplette værktøjskasse, logfiler, indsamlede ofre-data og identificerede to yderligere phishing-operatører, der kørte separate kampagner .
Alle tre operationer var Evilginx-baserede AiTM-phishing-kampagner, der proksede Microsoft 365-loginsider for at stjæle sessionstokens, efter brugeren havde gennemført MFA . En af de tre kampagner havde logget 218 opsamlede konti på tværs af 12 lande, hvoraf 94% var virksomheds-postkasser
. Operationerne brugte to forskellige angrebsveje: Evilginx-sessionstokentyveri (via en AiTM-proxy) og device code-phishing – et kit sendte ofrene til den rigtige Microsoft-enhedsloginside, hvor de selv godkendte adgangen, og angriberens backend pollede efter tokenet
.
Separat blev Forg365 phishing-as-a-service (PhaaS)-platformen identificeret af ZeroBEC-forskere (rapporteret 9.–13. juli 2026) som et kommercielt Telegram-distribueret kit, der koster $400 om måneden (eller $3.800 om året). I modsætning til de tilpassede Evilginx-forgreninger, der blev fundet på den eksponerede server, samler Forg365 flere angrebsmetoder og værktøjer i et enkelt operatør-dashboard .
Forg365 kombinerer tre kerneegenskaber:
Platformen inkluderer også antibot-evasionsdetektering (opdager sandkasser og sikkerhedscrawlere), adgang til postkassen efter kompromittering (operatører kan gennemse og eksfiltrere e-mail fra panelet), SMTP-rotation og kampagneplanlægning .
Disse to opdagelser illustrerer den kritiske forskel mellem AiTM-proxyangreb og device code-misbrug. At forstå forskellen er afgørende, fordi det samme forsvar ikke virker for begge:
AiTM-proxyangreb (Evilginx-stil): Angriberen opsætter en falsk loginside, der prokser trafik til den rigtige Microsoft-lognside. Brugeren indtaster deres adgangskode og gennemfører MFA på angriberens proxy. Efter vellykket godkendelse udsteder Microsoft en session-cookie til det, det tror er brugerens browser – men den cookie lander faktisk i angriberens proxy, ikke brugerens browser. Angriberen kan derefter genafspille cookien for at få adgang til offerets Microsoft 365-konto .
Device code-phishing: Angriberen genererer en legitim Microsoft-enhedskode (en kort kode, der bruges til at logge ind på enheder uden tastatur, som smart-tv'er) og sender den til offeret i en phishing-e-mail. Offeret besøger den rigtige Microsoft-loginside, indtaster koden, gennemfører MFA og godkender angriberens applikation. Intet "omgås" – offeret har godkendt adgangen. Angriberens backend poller derefter Microsoft efter tokenet .
Det enkeltstående mest effektive forsvar mod AiTM-proxyangreb er phishing-resistent MFA, specifikt FIDO2/WebAuthn og passkeys. Disse binder legitimationsoplysninger til det legitime domænenavn, så når brugerens browser opretter forbindelse til angriberens proxyside (som har et andet domæne), registrerer godkendelsesprotokollen domæne-uoverensstemmelsen og blokerer automatisk legitimationsudvekslingen .
Andre forsvar inkluderer:
Device code-phishing kræver ikke, at angriberen narrer offeret til at indtaste legitimationsoplysninger på en falsk side – brugeren interagerer med den rigtige Microsoft-loginside. Det betyder, at FIDO2/passkeys alene ikke fuldt ud beskytter mod dette angreb, fordi det legitime OAuth-flow bliver brugt .
Det primære forsvar er at blokere device-code OAuth-grant for brugere, der ikke har brug for det, ved hjælp af Microsoft Entra ID Conditional Access:
Yderligere forsvar:
FBI's offentlige service-meddelelse fra maj 2026 om Kali365 PhaaS-platformen anbefalede specifikt at blokere device code-flow som det primære forsvar . Efterhånden som phishing-platforme som Forg365 fortsætter med at kommercialisere disse angrebsteknikker, er det operationelle hastværk for forsvarere klart: implementer FIDO2/passkeys for alle privilegerede konti for at stoppe AiTM-proxyangreb, og brug Conditional Access til at deaktivere device code-grant for brugere, der ikke har brug for det. Én åben mappe eksponerede måske tre kampagner – men lektionerne gælder for alle Microsoft 365-lejere.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Den 13. juli 2026 afdækkede forskere fra det franske sikkerhedsfirma Lexfo tre aktive Evilginx baserede phishing kampagner mod Microsoft 365, efter en angriber efterlod en Python webserver eksponeret med mappelisting...
Den 13. juli 2026 afdækkede forskere fra det franske sikkerhedsfirma Lexfo tre aktive Evilginx baserede phishing kampagner mod Microsoft 365, efter en angriber efterlod en Python webserver eksponeret med mappelisting... Den afgørende forsvarsforskel: AiTM proxyangreb stoppes af phishing resistent MFA (FIDO2/passkeys), mens device code phishing bedst blokeres ved at deaktivere OAuth device code grant i Microsoft Entra ID Conditional A...