🔍 Contexte

Publié le 30 juin 2026 par Huntress (mise à jour le 2 juillet 2026), cet article présente une analyse technique détaillée d’une campagne de password spray en cours ciblant des environnements Microsoft 365, observée entre le 12 et le 26 juin 2026.

📊 Ampleur de l’attaque

Entre le 12 et le 26 juin 2026, Huntress a enregistré :

  • Plus de 81 millions de tentatives de connexion contre des comptes clients Huntress
  • 78 comptes Microsoft compromis dans 64 organisations
  • Un pic significatif le 22 juin : 30 comptes dans 23 entreprises impactés en une journée
  • Une augmentation de 155 fois du volume d’attaques par credential spray sur les 6 derniers mois

🛠️ Techniques d’attaque

Les attaquants ont utilisé :

  • Des combinaisons identifiants/mots de passe issus de fuites antérieures (jamais rotés)
  • Le flux OAuth ROPC (Resource Owner Password Credentials) via l’endpoint /token de l’Azure CLI, qui ne supporte pas le MFA ni le SSO
  • Cette technique a permis de contourner les politiques d’accès conditionnel (CAP) mal configurées

🔓 Lacunes MFA identifiées

Parmi les 23 entreprises impactées le 22 juin, 15 avaient du MFA via CAP, mais celui-ci n’a pas fonctionné pour diverses raisons :

  • MFA appliqué uniquement à des apps spécifiques (ex: portails admin) et non à All Cloud Apps
  • MFA limité à certains groupes d’utilisateurs (ex: admins uniquement)
  • MFA non requis depuis des emplacements de confiance (contourné par géolocalisation erronée des IP)
  • MFA en mode rapport uniquement (jamais enforced)
  • 8 entreprises n’avaient aucune politique MFA

🌐 Infrastructure attaquante

Les attaques proviennent de la plage IPv6 2a0a:d683::/32 appartenant à LSHIY LLC, fournisseur d’infrastructure internet opérant les ASN AS32167 et AS955. LSHIY a des adresses enregistrées à Hong Kong, Wuhan (Chine) et New York (espace de bureaux partagés). Les plages IPv6 des deux ASN sont géolocalisées en Chine par des tiers. Suite au signalement de Huntress, LSHIY a suspendu l’utilisateur responsable (service BYOIP) et les attaques ont cessé.

📌 Type d’article

Il s’agit d’une analyse technique et rapport d’incident publié par Huntress, visant à documenter une campagne active, exposer les lacunes de configuration MFA/CAP et fournir des indicateurs techniques exploitables.

🧠 TTPs et IOCs détectés

TTP

  • T1110.003 — Brute Force: Password Spraying (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1550.001 — Use Alternate Authentication Material: Application Access Token (Defense Evasion)
  • T1556 — Modify Authentication Process (Credential Access)
  • T1586.002 — Compromise Accounts: Email Accounts (Resource Development)

IOC

Malware / Outils

  • Azure CLI (tool)

🟢 Indice de vérification factuelle : 66/100 (haute)

  • ✅ huntress.com — source reconnue (liste interne) (20pts)
  • ✅ 11907 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ 0/1 IOCs confirmés externellement (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.huntress.com/blog/lshiy-password-spray-attack