Kali365 är betydligt mer omfattande än vad som tidigare har antagits och att tjänsten har utvecklats från ett enkelt verktyg till en phishing-as-a-service-plattform (PhaaS) som kan användas för att angripa användare på olika plattformar och tjänster. Det menar Arctic Wolf Labs.

Kan byta domäner snabbt

Kali365 utger sig redan för att vara flera företag och varumärken, bland andra Outlook, Live, Xerox Docushare, GMX och AWS-liknande tjänster. Arctic Wolf har kartlagt ett kluster på 126 värdar som använder samma infrastruktur för nätfiskeverktyget, vilket tyder på en betydligt större verksamhet än vad som tidigare dokumenterats och samtidigt visar aktörens förmåga att snabbt byta domäner och nätfiskefällor.

I april 2026 utfärdade FBI en varning om att Kali365, som säljs via Telegram-kanaler, ger angripare med begränsade tekniska kunskaper tillgång till AI-genererade nätfiskefällor. Tjänsten gör det också möjligt att kringgå Microsofts Oauth-baserade enhetsauktorisering samt stjäla autentiseringstokens och därmed kringgå multifaktorautentisering.

Rysk plattform är under attack

Arctic Wolf har upptäckt en pågående attack som drabbat den ryska regeringsstödda meddelandeplattformen MAX Messenger, som har mer än 100 miljoner registrerade användare. Offren luras att uppge telefonnummer, SMS-koder och 2FA-uppgifter via falska verifieringssidor. Uppgifterna exfiltreras i realtid via Telegram-botar, vilket understryker den fortsatta kopplingen mellan phishing-as-a-service-verksamheter och Telegram-baserade ekosystem för cyberbrottslighet.

Det är ännu oklart vem som ligger bakom Kali365, men Arctic Wolf Networks rekommenderar att företag fortsätter genomföra omfattande säkerhetsutbildning och informerar sina medarbetare om hotet, så att eventuella attacker snabbt kan identifieras och rapporteras.