Một nhóm nghi ngờ có liên kết với Nga đã bị xác định là thủ phạm của một chiến dịch tấn công lừa đảo (phishing campaign) sử dụng quy trình xác thực mã thiết bị (device code authentication workflows) để đánh cắp thông tin đăng nhập Microsoft 365 của nạn nhân và thực hiện các cuộc tấn công chiếm quyền tài khoản (account takeover attacks).
Hoạt động này, diễn ra từ tháng 9 năm 2025, đang được Proofpoint theo dõi dưới biệt danh UNK_AcademicFlare.
Các cuộc tấn công bao gồm việc sử dụng các địa chỉ email đã bị xâm nhập thuộc về các tổ chức chính phủ và quân sự để tấn công các thực thể trong các lĩnh vực chính phủ, viện nghiên cứu (think tanks), giáo dục đại học và vận tải ở Hoa Kỳ và Châu Âu.
"Thông thường, các địa chỉ email bị xâm nhập này được sử dụng để tiếp cận một cách thiện chí và xây dựng mối quan hệ liên quan đến lĩnh vực chuyên môn của mục tiêu, nhằm mục đích cuối cùng là sắp xếp một cuộc họp hoặc phỏng vấn giả mạo," công ty bảo mật doanh nghiệp cho biết.
Là một phần của những nỗ lực này, kẻ tấn công (adversary) tuyên bố chia sẻ một liên kết tới một tài liệu bao gồm các câu hỏi hoặc chủ đề để người nhận email xem xét trước cuộc họp. URL này trỏ đến một URL Cloudflare Worker bắt chước tài khoản Microsoft OneDrive của người gửi bị xâm nhập và hướng dẫn nạn nhân sao chép mã được cung cấp và nhấp vào "Next" để truy cập tài liệu được cho là có.
Tuy nhiên, việc làm này sẽ chuyển hướng người dùng đến URL đăng nhập mã thiết bị Microsoft hợp pháp. Tại đó, một khi mã được cung cấp trước đó được nhập vào, nó sẽ khiến dịch vụ tạo ra một access token mà sau đó có thể được ba kẻ tấn công khôi phục để chiếm quyền kiểm soát tài khoản của nạn nhân.
Tấn công lừa đảo bằng mã thiết bị (device code phishing) đã được ghi lại chi tiết bởi cả Microsoft và Volexity vào tháng 2 năm 2025, gán việc sử dụng phương pháp tấn công này cho các nhóm tin tặc liên kết với Nga như Storm-2372, APT29, UTA0304 và UTA0307. Trong vài tháng qua, Amazon Threat Intelligence và Volexity đã cảnh báo về các cuộc tấn công tiếp diễn được thực hiện bởi các tác nhân đe dọa (threat actors) Nga thông qua việc lạm dụng luồng xác thực mã thiết bị (device code authentication flow).
Proofpoint cho biết UNK_AcademicFlare có khả năng là một tác nhân đe dọa (threat actor) liên kết với Nga, dựa trên việc nhóm này nhắm mục tiêu vào các chuyên gia tập trung vào Nga tại nhiều viện nghiên cứu (think tanks) và các tổ chức chính phủ và năng lượng của Ukraine.
Dữ liệu từ công ty cho thấy nhiều tác nhân đe dọa, cả liên kết với nhà nước và có động cơ tài chính, đã nắm bắt chiến thuật lừa đảo này để lừa người dùng cấp cho chúng quyền truy cập vào tài khoản Microsoft 365. Điều này bao gồm một nhóm tội phạm mạng (e-crime group) tên là TA2723 đã sử dụng các mồi nhử liên quan đến lương trong email lừa đảo (phishing emails) để hướng người dùng đến các trang đích giả mạo và kích hoạt xác thực mã thiết bị (device code authorization).
Chiến dịch tháng 10 năm 2025 được đánh giá là được thúc đẩy bởi sự sẵn có của các công cụ tội phạm mạng (crimeware offerings) như Graphish phishing kit và các công cụ red-team như SquarePhish.
"Tương tự như SquarePhish, công cụ này được thiết kế thân thiện với người dùng và không yêu cầu chuyên môn kỹ thuật nâng cao, làm giảm rào cản gia nhập và cho phép ngay cả các tác nhân đe dọa ít kỹ năng (low-skilled threat actors) cũng có thể thực hiện các chiến dịch lừa đảo tinh vi," Proofpoint cho biết. "Mục tiêu cuối cùng là truy cập trái phép vào dữ liệu cá nhân hoặc tổ chức nhạy cảm, có thể bị khai thác để đánh cắp thông tin đăng nhập (credential theft), chiếm quyền tài khoản (account takeover) và xâm nhập sâu hơn."
Để chống lại rủi ro do tấn công lừa đảo bằng mã thiết bị (device code phishing) gây ra, lựa chọn tốt nhất là tạo một chính sách Truy cập có điều kiện (Conditional Access policy) sử dụng điều kiện Luồng xác thực (Authentication Flows) để chặn luồng mã thiết bị (device code flow) cho tất cả người dùng. Nếu điều đó không khả thi, nên sử dụng một chính sách tiếp cận theo danh sách cho phép (allow-list approach) để cho phép xác thực mã thiết bị (device code authentication) cho những người dùng, hệ điều hành hoặc dải IP đã được phê duyệt.
