🔍 Contexte
Publié le 30 juin 2026 par Huntress (mise à jour le 2 juillet 2026), cet article présente une analyse technique détaillée d’une campagne de password spray en cours ciblant des environnements Microsoft 365, observée entre le 12 et le 26 juin 2026.
📊 Ampleur de l’attaque
Entre le 12 et le 26 juin 2026, Huntress a enregistré :
- Plus de 81 millions de tentatives de connexion contre des comptes clients Huntress
- 78 comptes Microsoft compromis dans 64 organisations
- Un pic significatif le 22 juin : 30 comptes dans 23 entreprises impactés en une journée
- Une augmentation de 155 fois du volume d’attaques par credential spray sur les 6 derniers mois
🛠️ Techniques d’attaque
Les attaquants ont utilisé :
- Des combinaisons identifiants/mots de passe issus de fuites antérieures (jamais rotés)
- Le flux OAuth ROPC (Resource Owner Password Credentials) via l’endpoint
/tokende l’Azure CLI, qui ne supporte pas le MFA ni le SSO - Cette technique a permis de contourner les politiques d’accès conditionnel (CAP) mal configurées
🔓 Lacunes MFA identifiées
Parmi les 23 entreprises impactées le 22 juin, 15 avaient du MFA via CAP, mais celui-ci n’a pas fonctionné pour diverses raisons :
- MFA appliqué uniquement à des apps spécifiques (ex: portails admin) et non à All Cloud Apps
- MFA limité à certains groupes d’utilisateurs (ex: admins uniquement)
- MFA non requis depuis des emplacements de confiance (contourné par géolocalisation erronée des IP)
- MFA en mode rapport uniquement (jamais enforced)
- 8 entreprises n’avaient aucune politique MFA
🌐 Infrastructure attaquante
Les attaques proviennent de la plage IPv6 2a0a:d683::/32 appartenant à LSHIY LLC, fournisseur d’infrastructure internet opérant les ASN AS32167 et AS955. LSHIY a des adresses enregistrées à Hong Kong, Wuhan (Chine) et New York (espace de bureaux partagés). Les plages IPv6 des deux ASN sont géolocalisées en Chine par des tiers. Suite au signalement de Huntress, LSHIY a suspendu l’utilisateur responsable (service BYOIP) et les attaques ont cessé.
📌 Type d’article
Il s’agit d’une analyse technique et rapport d’incident publié par Huntress, visant à documenter une campagne active, exposer les lacunes de configuration MFA/CAP et fournir des indicateurs techniques exploitables.
🧠 TTPs et IOCs détectés
TTP
- T1110.003 — Brute Force: Password Spraying (Credential Access)
- T1078 — Valid Accounts (Defense Evasion)
- T1550.001 — Use Alternate Authentication Material: Application Access Token (Defense Evasion)
- T1556 — Modify Authentication Process (Credential Access)
- T1586.002 — Compromise Accounts: Email Accounts (Resource Development)
IOC
Malware / Outils
- Azure CLI (tool)
🟢 Indice de vérification factuelle : 66/100 (haute)
- ✅ huntress.com — source reconnue (liste interne) (20pts)
- ✅ 11907 chars — texte complet (fulltext extrait) (15pts)
- ✅ 1 IOC(s) (6pts)
- ⬜ 0/1 IOCs confirmés externellement (0pts)
- ✅ 5 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://www.huntress.com/blog/lshiy-password-spray-attack