Een financieel gemotiveerde dreigingsactor, bekend als Storm-2755, steelt salarissen van Canadese werknemers door hun accounts te kapen in zogenaamde payroll pirate-aanvallen. Hierbij maken de aanvallers gebruik van kwaadaardige Microsoft 365-inlogpagina's om authenticatietokens en sessiecookies te stelen. Deze nep-inlogpagina's worden gepresenteerd via domeinen zoals bluegraintours[.]com, die door malvertising of SEO-poisoning hoog in zoekresultaten verschijnen en zich voordoen als legitieme Microsoft 365-inlogformulieren.

Door deze methode kunnen de aanvallers multifactor-authenticatie (MFA) omzeilen met zogenaamde adversary-in-the-middle (AiTM)-aanvallen. In plaats van alleen gebruikersnamen en wachtwoorden te stelen, onderscheppen ze de volledige authenticatiestroom en hergebruiken ze gestolen sessietokens om toegang te krijgen tot Microsoft-diensten zonder opnieuw te hoeven inloggen of MFA te doorlopen. Microsoft legt uit dat deze tokens een volledig geauthenticeerde sessie vertegenwoordigen, waardoor traditionele MFA die niet phishing-bestendig is, kan worden omzeild via deze techniek zoals Microsoft uitlegt.

Na het verkrijgen van toegang tot een account, maken de aanvallers inboxregels aan die berichten van HR-medewerkers met trefwoorden als "direct deposit" of "bank" automatisch verbergen. Zo ziet het slachtoffer deze communicatie niet. Vervolgens zoeken de aanvallers naar e-mails met termen als "payroll", "HR", "direct deposit" en "finance" en sturen ze misleidende berichten naar HR met het onderwerp "Question about direct deposit" om bankgegevens te laten aanpassen. Als social engineering niet lukt, loggen de aanvallers direct in op HR-software zoals Workday met de gestolen sessies om handmatig betaalgegevens te wijzigen.

Microsoft adviseert organisaties om legacy authenticatieprotocollen te blokkeren en phishing-bestendige MFA te implementeren om deze aanvallen tegen te gaan. Bij tekenen van compromittering moeten gestolen tokens en sessies onmiddellijk worden ingetrokken, kwaadaardige inboxregels verwijderd en MFA-methoden en inloggegevens van getroffen accounts worden gereset. Eerder, in oktober, wist Microsoft een vergelijkbare payroll pirate-campagne te verstoren waarbij de groep Storm-2657 sinds maart 2025 Amerikaanse universiteitsmedewerkers aanviel via phishing en AiTM-tactieken om MFA-codes te stelen en Exchange Online-accounts te compromitteren.

Payroll pirate-aanvallen zijn een variant van business email compromise (BEC)-fraude, gericht op organisaties en personen die regelmatig overboekingen doen. Volgens het FBI Internet Crime Complaint Center (IC3) werden vorig jaar meer dan 24.000 BEC-meldingen geregistreerd, met een financieel verlies van meer dan 3 miljard dollar, waarmee het de op een na meest lucratieve cybercriminaliteitsvorm is na beleggingsfraude zoals het IC3 rapporteert.