Une nouvelle vague d’hameçonnage fantôme bouleverse la sécurité traditionnelle des courriels.

Une récente campagne d’EvilTokens ciblant des entreprises aux États-Unis et en Europe met en lumière une nouvelle faille de sécurité dans le système de messagerie électronique. Cette technique de « phishing fantôme » maintient la page malveillante cachée jusqu’à son déchiffrement et son exécution dans le navigateur de la victime.
Pour les responsables de la sécurité, le risque est clair : les vérifications d’URL traditionnelles peuvent passer à côté de l’attaque alors que l’accès à Microsoft 365, les données sensibles et le temps de réponse sont déjà en jeu.
Le courriel semble sûr. Le navigateur raconte une autre histoire.
Une récente attaque d’EvilTokens montre comment un lien d’hameçonnage peut sembler inoffensif lors d’une première inspection, tout en permettant la prise de contrôle d’un compte Microsoft 365.
Ce kit utilise l’hameçonnage par code d’identification Microsoft pour inciter les victimes à suivre une procédure de connexion Microsoft légitime et à autoriser, à leur insu, l’accès à leurs comptes. Il n’est pas nécessaire de voler directement le mot de passe.
La véritable attaque reste invisible jusqu’à l’ouverture de la page dans le navigateur. Son code HTML est chiffré avec AES-GCM et ne devient visible qu’après déchiffrement par le navigateur et affichage du contenu frauduleux dans le DOM.
Par conséquent, les vérifications d’URL statiques et les contrôles au niveau du réseau peuvent capturer la réponse initiale sans voir ce que l’employé voit réellement. Ce manque de visibilité peut entraîner :
- Exposition prolongée à la prise de contrôle du compte Microsoft 365
- Décisions retardées en matière de confinement et d’intervention
- Accès non autorisé à la messagerie, aux fichiers et aux services cloud de l’entreprise
- Des alertes plus incertaines ont été transmises aux analystes principaux.
- Charge de travail d’enquête et coûts opérationnels plus élevés
- Preuves incomplètes concernant le blocage des infrastructures connexes
L’intégralité du déroulement de l’attaque a cependant été découverte dans l’environnement de test interactif d’ANY.RUN. Explorez la session d’analyse pour voir ce que le navigateur a révélé et comment les équipes peuvent utiliser ces informations pour réagir plus rapidement.
![]() |
| Une technique complexe d’hameçonnage fantôme a été découverte dans l’environnement de test d’ANY.RUN. |
Où le phishing fantôme frappe le plus fort
Les renseignements sur les menaces d’ANY.RUN montrent que l’activité récente d’EvilTokens s’est concentrée aux États-Unis et en Europe, ciblant les secteurs de la technologie, de la fabrication, de l’éducation, de la banque, du conseil, des services financiers et des fournisseurs de sécurité gérés.
![]() |
| L’indicateur TI d’ANY.RUN révèle une activité de menace ciblant des régions spécifiques. |
Le chevauchement est difficile à ignorer. D’après les données de soumission de sandbox d’ANY.RUN provenant de 15 000 organisations, l’exposition au phishing en 2026 a atteint 75,6 % dans le conseil, 72,8 % dans les services financiers, 71,9 % dans la fabrication, 67,9 % dans la technologie, 66,7 % dans le secteur bancaire et 66,1 % parmi les MSSP .
Cela rend le phishing dissimulé particulièrement dangereux pour ces secteurs. Un seul compte Microsoft 365 compromis peut exposer des données sensibles, permettre la compromission de la messagerie professionnelle et la fraude, et déclencher des interventions coûteuses.
Plus une attaque reste cachée longtemps, plus le risque qu’un seul compte se transforme en incident commercial de plus grande ampleur est grand.
Rendez le problème visible avant que l’entreprise n’en subisse les conséquences.
La méthode la plus efficace pour démasquer les tentatives d’hameçonnage fantôme consiste à ouvrir les liens suspects dans un environnement isolé (sandbox) prenant en charge l’inspection des données directement dans le navigateur.
Dans l’environnement de test interactif d’ANY.RUN, les analystes peuvent aller au-delà de la réponse chiffrée AES-GCM et observer ce qui se passe après le déchiffrement de la page. Ils peuvent ainsi voir le contenu d’hameçonnage apparaître dans le DOM, relier la modification à une requête Fetch/XHR et remonter jusqu’au point de terminaison /api/device/start en utilisant le code du périphérique Microsoft.
![]() |
| Le DOM HTML déchiffré, visualisé dans le panneau d’analyse des données du navigateur. |
L’affichage des données directement dans le navigateur permet de visualiser l’intégralité du déroulement de l’attaque au sein d’une seule enquête :
- Les instantanés DOM indiquent quand la page cachée change et que le code utilisateur apparaît.
- Les requêtes HTTP révèlent la communication en arrière-plan qui sous-tend le flux de code du périphérique.
- Les détails de l’URL révèlent la destination finale et les signatures de détection déclenchées.
- Les indicateurs fournissent des domaines, des points de terminaison, des hachages et une infrastructure pour une recherche plus approfondie.
Au lieu de reconstituer l’attaque manuellement, les équipes obtiennent des preuves directes du comportement de la page, des requêtes qu’elle effectue et des éléments qui permettent le confinement et la détection.
![]() |
| Captures d’écran du DOM affichant le code déchiffré |
Des preuves au niveau du navigateur à une transition plus claire vers le SOC
Pour faire passer ces éléments de preuve du niveau 1 au niveau 2, l’enquête génère automatiquement un rapport contenant un résumé réalisé par une IA et des recommandations pour les prochaines étapes.
![]() |
| Rapport généré automatiquement par la session d’analyse EvilTokens |
Au lieu de reconstituer le dossier à partir des données brutes du navigateur, les analystes principaux reçoivent les principaux résultats, les comportements observés, les indicateurs et le contexte des réponses au même endroit. Cela accélère les transmissions d’informations, réduit les tâches répétitives et permet aux équipes de passer plus rapidement de la validation au confinement.
Bloquez le phishing fantôme dans le navigateur avant qu’il n’atteigne l’entreprise.
L’affaire EvilTokens révèle une vérité dérangeante : un courriel peut passer l’inspection alors que la véritable attaque se cache à l’intérieur du navigateur.
Sans visibilité au niveau du navigateur, le SOC est contraint de prendre des décisions cruciales avec des preuves partielles. Ce délai donne aux attaquants davantage de temps pour accéder au système, étendre leur champ d’action et transformer un compte Microsoft 365 compromis en un incident coûteux pour l’entreprise.
Cela aide les responsables de la sécurité :
- Réduisez la durée d’exposition avant qu’un compte compromis ne devienne un incident plus important.
- Réduisez la pression sur les analystes principaux en fournissant aux analystes de niveau 1 suffisamment d’éléments de preuve pour résoudre davantage d’affaires.
- Accélérer le confinement grâce à un contexte d’attaque complet disponible dès la première escalade.
- Améliorer la couverture de détection grâce à l’analyse du comportement du navigateur, de l’infrastructure et des schémas d’attaque reproductibles
- Réduisez le coût de la réponse au phishing en limitant les investigations manuelles et les tâches redondantes.
- Prenez des décisions relatives aux risques en vous basant sur des preuves plutôt que sur des examens sans anomalies ou des verdicts non concluants.
Les techniques d’hameçonnage modernes ne se dévoilent plus entièrement dans l’e-mail ou la réponse initiale de l’URL. Les équipes de sécurité ont besoin d’une visibilité permettant de suivre l’attaque jusqu’au navigateur et de la détecter avant que l’entreprise n’en subisse les conséquences.
Réduisez les risques pour votre entreprise : fournissez aux analystes des preuves complètes sur l’activité du navigateur afin de contenir plus rapidement les tentatives d’hameçonnage fantôme et d’empêcher qu’un compte compromis ne se transforme en incident coûteux.




