Storm 2372 è tornato al centro dell’attenzione per una tecnica che, ancora oggi, resta poco conosciuta fuori dal mondo della sicurezza: il device code phishing. Il punto chiave è semplice: non serve rubare la password nel modo classico e non serve neppure spezzare davvero la 2FA. L’attaccante convince la vittima a completare in prima persona un flusso di accesso legittimo e, così, ottiene token validi da usare contro l’account aziendale.

In questi casi la protezione a più fattori non viene forzata con una falla tecnica; viene aggirata perché è l’utente stesso a completare l’autenticazione per conto dell’attaccante, spesso senza rendersene conto. La Cloud Security Alliance osserva infatti che la MFA non offre protezione reale contro questa classe di attacchi, proprio perché la vittima esegue il passaggio richiesto e i refresh token possono restare validi anche dopo un reset della password.

Come funziona l’attacco di Storm 2372

Secondo Microsoft Threat Intelligence, Storm-2372 è una campagna attiva almeno da agosto 2024 e collegata con confidenza moderata a interessi russi. I bersagli hanno incluso governi, ONG, IT, difesa, telecomunicazioni, sanità, università ed energia in Europa, Nord America, Africa e Medio Oriente.

La tecnica sfrutta il device code flow, cioè un sistema legittimo pensato per dispositivi con input limitato, come smart TV, stampanti o console, che non possono completare facilmente un login classico via browser. L’attaccante genera un codice valido, lo inserisce dentro una falsa richiesta di accesso o invito a una riunione, poi spinge la vittima a usarlo su una pagina autentica di login. A quel punto l’account viene autorizzato e l’attore malevolo riceve i token di accesso e refresh senza dover conoscere la password.

Storm-2372: perché la 2FA qui non basta

Il nodo sta tutto nel fatto che il flusso è legittimo. Non c’è un sito clone costruito male, non c’è un malware da installare per forza, non c’è nemmeno il classico furto del codice OTP. L’utente vede una procedura che sembra normale, la completa, passa anche l’eventuale MFA e consegna di fatto all’attaccante una sessione autenticata.

Microsoft ha spiegato che, una volta ottenuti i token, gli aggressori possono entrare nei servizi a cui quell’utente ha accesso, leggere dati, muoversi lateralmente e mantenere la presenza finché i token restano validi. In alcuni casi osservati da Microsoft, Storm-2372 ha usato Microsoft Graph per cercare messaggi con parole chiave come username, password, admin, teamviewer, anydesk, credentials, secret, ministry e gov, passando poi all’esfiltrazione delle email trovate.

Le campagne sono diventate più efficaci

Nel nuovo report pubblicato da Microsoft ad aprile 2026, il quadro si allarga oltre Storm-2372 e mostra come il device code phishing stia diventando più sofisticato. I ricercatori descrivono una campagna su larga scala contro account organizzativi, resa più efficace da automazione backend, esche iper-personalizzate create con IA generativa e soprattutto generazione dinamica del codice.

Questo passaggio è importante perché risolve uno dei limiti storici della tecnica: il codice device dura poco, circa 15 minuti. In passato l’attaccante doveva sperare che la vittima aprisse il messaggio quasi subito. Con la generazione dinamica, invece, il codice viene creato nel momento in cui l’utente clicca il link, così la finestra temporale resta sempre utile e l’attacco ha molte più probabilità di riuscire.

Secondo la Cloud Security Alliance, ciò che era nato come tecnica usata in ambito statale si è poi trasformato anche in offerta phishing-as-a-service. L’organizzazione cita una campagna che ha compromesso oltre 340 organizzazioni in cinque Paesi nel giro di poche settimane. È il passaggio che fa capire come questo schema non sia più una curiosità da analisti, ma una minaccia concreta e ormai più ampia.

Cosa devono fare aziende e utenti

La difesa più netta, sul piano tecnico, è bloccare o limitare il device code flow dove non serve davvero. La Cloud Security Alliance indica le policy di Microsoft Entra ID Conditional Access come il controllo più diretto. Pur ricordando che prima bisogna verificare se l’organizzazione usa in modo legittimo quel flusso su alcuni dispositivi o servizi.

Si segnalano anche altre misure utili: policy di rischio sugli accessi, revoca delle sessioni in caso di sospetto, monitoraggio dei log di accesso e attenzione ai segnali anomali legati ai token. Se un attacco di questo tipo viene individuato, la semplice modifica della password può non bastare.

Per l’utente medio, invece, la regola più utile è una: diffidare sempre da inviti a meeting, chat o strumenti di collaborazione che chiedono di inserire un codice su una pagina Microsoft o simile, soprattutto se arrivano fuori contesto o da contatti inattesi. In questi casi il problema non è tanto la password debole; è la fiducia mal riposta in un passaggio che sembra legittimo.

Storm-2372 mostra un problema più ampio

La storia di Storm-2372 dice una cosa precisa. Oggi molte difese funzionano bene contro i metodi vecchi, ma faticano di più quando l’attacco sfrutta processi autentici e comportamenti umani. La MFA resta fondamentale. Ma non è una barriera assoluta quando il trucco consiste nel farti autenticare dentro un flusso valido che in realtà favorisce l’aggressore.

Ed è proprio questo il punto più scomodo della vicenda. Non siamo davanti al solito furto di password; siamo davanti a un modello che usa la fiducia, la fretta e l’apparente normalità delle piattaforme moderne per entrare dove non dovrebbe.