Op 13 juli 2026 ontdekten onderzoekers van het Franse Lexfo drie actieve Evilginx phishingcampagnes tegen Microsoft 365 nadat een aanvaller per ongeluk een Python webserver met open directory had laten staan. Een van de campagnes had 218 accounts buitgemaakt in 12 landen, waarvan 94% zakelijke mailboxen.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the details of the recent Microsoft 365 phishing campaigns exposed by a misconfigured se. Article summary: On **July 13, 2026**, researchers at the French security firm **Lexfo** uncovered three live Evilginx-based phishing operations targeting Microsoft 365 after an attacker left a Python web server exposed on a public port . Topic tags: general, government, education, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, wat
In juli 2026 kwamen twee parallelle ontdekkingen aan het licht die een golf van geavanceerde Microsoft 365-phishingaanvallen onthulden. Deze aanvallen omzeilen multi-factor authenticatie (MFA) op twee fundamenteel verschillende manieren: via adversary-in-the-middle (AiTM)-proxy-aanvallen en via misbruik van device-code-authenticatie. De eerste ontdekking was het gevolg van een fout van een aanvaller: een verkeerd geconfigureerde Python-webserver die drie actieve campagnes blootlegde. De tweede ontdekking kwam van onderzoekers die een nieuw commercieel phishingplatform, Forg365, op het spoor kwamen. Het begrijpen van hoe elke aanval werkt, is de eerste stap naar het inzetten van de juiste verdediging, want de oplossing voor de ene stopt de andere niet.
Op 13 juli 2026 ontdekten onderzoekers van het Franse beveiligingsbedrijf Lexfo drie actieve Evilginx-gebaseerde phishingoperaties die op Microsoft 365 gericht waren. Dit gebeurde nadat een aanvaller een Python-webserver had blootgesteld op een openbare poort met directory listing ingeschakeld. Het commando python3 -m http.server 8080.bash_history van de server. Via die open directory haalde Lexfo de volledige toolkit van de operator op, inclusief logs en buitgemaakte slachtofferdata. Ze traceerden vervolgens nog twee andere phishingoperaties die door afzonderlijke aanvallers werden gerund .
Alle drie de operaties waren Evilginx-gebaseerde AiTM-phishingcampagnes die inlogpagina's van Microsoft 365 proxyden om sessietokens te stelen nadat de gebruiker MFA had voltooid . Eén van de drie campagnes had 218 buitgemaakte accounts in 12 landen geregistreerd, waarvan 94% zakelijke mailboxen waren
. De operaties gebruikten twee verschillende aanvalsmethoden: Evilginx-sessietoken-diefstal (via een AiTM-proxy) en device-code-phishing. Eén kit stuurde slachtoffers naar de echte Microsoft-apparaatinlogpagina, waar ze zelf toegang autoriseerden. De backend van de aanvaller pollde vervolgens naar het token
.
Los van deze ontdekking werd het Forg365 phishing-as-a-service (PhaaS)-platform geïdentificeerd door ZeroBEC-onderzoekers (gemeld op 9-13 juli 2026). Dit commerciële platform wordt gedistribueerd via Telegram en kost $400 per maand (of $3.800 per jaar). In tegenstelling tot de op maat gemaakte Evilginx-varianten op de blootgestelde server, bundelt Forg365 meerdere aanvalsmethoden en -tools in één operator-dashboard .
Forg365 combineert drie kernmogelijkheden:
Het platform bevat ook antibot-ontwijking (detecteert sandboxen en security crawlers), post-compromis toegang tot mailboxen (operators kunnen e-mail bekijken en exfiltreren vanuit het paneel), SMTP-rotatie en campagnemanagement .
Deze twee ontdekkingen illustreren het cruciale onderscheid tussen AiTM-proxy-aanvallen en device-code-misbruik. Het begrijpen van dit verschil is essentieel, want dezelfde verdediging werkt niet voor beide:
AiTM-proxy-aanvallen (Evilginx-stijl): De aanvaller zet een nepinlogpagina op die verkeer doorstuurt naar de echte Microsoft-inlogpagina. De gebruiker voert zijn wachtwoord in en voltooit MFA op de proxy van de aanvaller. Na succesvolle authenticatie geeft Microsoft een sessiecookie af aan wat het beschouwt als de browser van de legitieme gebruiker – maar die cookie komt terecht in de proxy van de aanvaller, niet in de browser van de gebruiker. De aanvaller kan die cookie vervolgens hergebruiken om toegang te krijgen tot het Microsoft 365-account van het slachtoffer .
Device-code-phishing: De aanvaller genereert een legitieme Microsoft-apparaatcode (een korte code die wordt gebruikt om in te loggen op apparaten zonder toetsenbord, zoals smart-tv's) en stuurt deze naar het slachtoffer in een phishing-e-mail. Het slachtoffer bezoekt de echte Microsoft-inlogpagina, voert de code in, voltooit MFA en autoriseert de applicatie van de aanvaller. Er wordt niets 'omzeild' – het slachtoffer heeft de toegang zelf geautoriseerd. De backend van de aanvaller pollt vervolgens naar het token .
De meest effectieve verdediging tegen AiTM-proxy-aanvallen is phishingbestendige MFA, met name FIDO2/WebAuthn en passkeys. Deze binden credentials aan het legitieme domein. Wanneer de browser van de gebruiker verbinding maakt met de proxysite van de aanvaller (die een ander domein heeft), detecteert het authenticatieprotocol de domeinmismatch en blokkeert het automatisch de uitwisseling van credentials .
Andere verdedigingsmaatregelen zijn:
Device-code-phishing vereist niet dat de aanvaller het slachtoffer misleidt om inloggegevens op een nep-pagina in te voeren – de gebruiker heeft interactie met de echte Microsoft-inlogpagina. Dit betekent dat FIDO2/passkeys alleen niet volledig beschermen tegen deze aanval, omdat de legitieme OAuth-flow wordt gebruikt .
De primaire verdediging is het blokkeren van de device-code OAuth-grant voor gebruikers die deze niet nodig hebben, via Microsoft Entra ID Conditional Access:
Aanvullende verdediging:
De openbare dienstmededeling van de FBI van mei 2026 over het Kali365-PhaaS-platform raadde specifiek aan om de device-code-flow te blokkeren als primaire verdediging . Nu phishingplatforms zoals Forg365 deze aanvalstechnieken blijven commercialiseren, is de operationele urgentie voor verdedigers duidelijk: implementeer FIDO2/passkeys voor alle bevoorrechte accounts om AiTM-proxy-aanvallen te stoppen en gebruik Conditional Access om de device-code-grant uit te schakelen voor gebruikers die deze niet nodig hebben. Eén open directory heeft misschien drie campagnes blootgelegd, maar de lessen gelden voor elke Microsoft 365-tenant.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Op 13 juli 2026 ontdekten onderzoekers van het Franse Lexfo drie actieve Evilginx phishingcampagnes tegen Microsoft 365 nadat een aanvaller per ongeluk een Python webserver met open directory had laten staan.
Op 13 juli 2026 ontdekten onderzoekers van het Franse Lexfo drie actieve Evilginx phishingcampagnes tegen Microsoft 365 nadat een aanvaller per ongeluk een Python webserver met open directory had laten staan. Een van de campagnes had 218 accounts buitgemaakt in 12 landen, waarvan 94% zakelijke mailboxen.
Het commerciële PhaaS platform Forg365 combineert AiTM proxying, device code phishing en AI gestuurde lokmiddelen in één dashboard voor 400 dollar per maand.