Cybersecurityonderzoekers waarschuwen voor een actieve device code phishingcampagne die Microsoft 365-identiteiten aanvalt binnen meer dan 340 organisaties verspreid over de Verenigde Staten, Canada, Australië, Nieuw-Zeeland en Duitsland. De campagne werd voor het eerst gesignaleerd op 19 februari 2026 en heeft sindsdien in een versneld tempo nieuwe slachtoffers gemaakt.

De aanval maakt gebruik van Cloudflare Workers om sessies om te leiden naar infrastructuur gehost op Railway, een platform-as-a-service, waarmee het een geavanceerde credential harvesting engine vormt. Diverse sectoren worden getroffen, waaronder bouw, non-profit, vastgoed, productie, financiële dienstverlening, gezondheidszorg, juridische dienstverlening en overheidsinstanties. De campagne onderscheidt zich door het gebruik van uiteenlopende technieken, zoals valse biedingsverzoeken in de bouw, nep-DocuSign berichten, voicemailmeldingen en misbruik van Microsoft Forms, die allemaal via dezelfde Railway.com IP-adressen worden uitgevoerd.

Device code phishing misbruikt de OAuth device authorization flow om aanhoudende toegangstokens te verkrijgen, waarmee aanvallers controle over accounts kunnen krijgen. Deze tokens blijven geldig, zelfs nadat het wachtwoord van het account is gewijzigd. De aanval start met een verzoek om een device code via de legitieme API van bijvoorbeeld Microsoft Entra ID. Vervolgens ontvangt het slachtoffer een overtuigende phishingmail met het verzoek een code in te voeren op een pagina die lijkt op microsoft.com/devicelogin. Na invoer van de code, gebruikersnaam, wachtwoord en tweefactorauthenticatie genereert de service toegangstokens die door de aanvaller kunnen worden opgehaald met de oorspronkelijke device code.

Deze methode werd voor het eerst in februari 2025 door Microsoft en Volexity waargenomen, met latere golven gedocumenteerd door Amazon Threat Intelligence en Proofpoint. Diverse aan Rusland gelieerde groepen, waaronder Storm-2372 en APT29, worden aan deze aanvallen gekoppeld. De campagne gebruikt legitieme Microsoft infrastructuur, waardoor gebruikers geen reden hebben om verdachte activiteiten te vermoeden. De phishingmails bevatten schadelijke URL’s die via meerdere omleidingen van gerenommeerde beveiligingsleveranciers zoals Cisco, Trend Micro en Mimecast spamfilters omzeilen en slachtoffers naar de uiteindelijke malafide inlogpagina leiden.