Um grupo de cibercriminosos com possíveis ligações à Rússia está sendo responsabilizado por uma campanha de phishing altamente direcionada que visa usuários do Microsoft 365, com foco em ambientes corporativos e governamentais. A operação, identificada sob o codinome UNK_AcademicFlare, utiliza técnicas que exploram o fluxo de autenticação por código de dispositivo para tomar o controle de contas em serviços de nuvem da Microsoft.
A campanha está ativa desde setembro de 2025 e tem como principal vetor e-mails de phishing que instruem a vítima a inserir um código legítimo em uma página falsa da Microsoft. Ao fazer isso, a vítima entrega ao atacante um token de autenticação válido, permitindo acesso total à conta da organização comprometida, sem necessidade de capturar senhas diretamente.
Esse tipo de ataque se destaca por utilizar funcionalidades legítimas da plataforma como vetor, tornando mais difícil sua detecção por sistemas tradicionais de segurança. Após a invasão, os criminosos conseguem acessar e-mails, arquivos armazenados no OneDrive, dados sensíveis e até recursos do Microsoft Teams. A técnica explora o recurso de login por dispositivos em que o usuário digita um código para autorizar uma sessão. Ao manipular esse fluxo, o atacante consegue autenticar sua própria sessão com privilégios da vítima, sem levantar suspeitas imediatas.
A atividade foi associada a padrões semelhantes aos de outros grupos conhecidos por suas ligações com o governo russo, embora os responsáveis ainda não tenham sido identificados com precisão. O ataque demonstra um alto grau de sofisticação, combinando engenharia social com abuso de fluxos OAuth.
