🛡️ Executive Summary
- La campagna Lshiy ha generato oltre 81 milioni di tentativi di autenticazione contro Azure CLI, compromettendo almeno 78 account Microsoft.
- Gli attaccanti sfruttano il flusso OAuth ROPC, che permette di autenticarsi con credenziali valide senza attivare i tradizionali prompt MFA.
- Le configurazioni incomplete di Conditional Access hanno consentito il successo degli attacchi anche in organizzazioni che ritenevano di essere adeguatamente protette.
Una nuova campagna di password spray sta mettendo sotto pressione gli ambienti Microsoft 365 attraverso l’interfaccia a riga di comando di Azure. I ricercatori di Huntress hanno osservato oltre 81 milioni di tentativi di autenticazione tra il 12 e il 26 giugno 2026, attribuendo l’attività a un’infrastruttura riconducibile a LSHIY LLC. L’offensiva ha portato alla compromissione di almeno 78 account Microsoft appartenenti a 64 organizzazioni, con un picco registrato il 22 giugno, quando sono stati violati trenta account distribuiti in ventitré aziende. La campagna non sfrutta vulnerabilità software, ma combina credenziali già compromesse con configurazioni errate di Conditional Access, dimostrando come una protezione MFA incompleta possa essere aggirata anche in ambienti considerati conformi alle best practice.
Cosa leggere
Una campagna di password spray su scala industriale
Secondo Huntress, gli attacchi di credential spray contro gli ambienti Microsoft sono aumentati in maniera significativa negli ultimi mesi. L’azienda ha registrato una crescita del 155% rispetto al semestre precedente, con una media di circa 1.964 tentativi falliti al mese per tenant protetto. La campagna attribuita a LSHIY LLC si distingue però per volume e continuità: oltre 81 milioni di richieste di autenticazione concentrate in appena due settimane. Gli aggressori non sembrano selezionare settori specifici, ma puntano a organizzazioni che utilizzano credenziali presenti in precedenti data breach o password mai aggiornate. Il successo dell’operazione conferma come il riutilizzo delle password continui a rappresentare uno dei principali punti deboli nelle infrastrutture cloud.
Il ruolo del flusso OAuth ROPC nell’attacco

L’elemento tecnico centrale della campagna è l’utilizzo del flusso Resource Owner Password Credentials (ROPC), una modalità di autenticazione prevista da OAuth 2.0 ma ormai deprecata nelle specifiche più recenti. Diversamente dai moderni processi di autenticazione, il flusso ROPC invia direttamente nome utente e password all’endpoint /token, ottenendo un token di accesso senza passare attraverso l’interfaccia interattiva normalmente utilizzata dagli utenti. Questa modalità non è stata progettata per supportare Multi-Factor Authentication, Single Sign-On o altri meccanismi moderni di verifica dell’identità. Di conseguenza, quando le organizzazioni mantengono ancora attivi questi flussi legacy, gli aggressori possono autenticarsi utilizzando credenziali valide senza incontrare i controlli previsti per le normali sessioni di accesso.
Conditional Access presente ma configurato in modo incompleto

Uno degli aspetti più significativi emersi dall’indagine riguarda le configurazioni di Conditional Access. Tra le ventitré organizzazioni compromesse durante il picco del 22 giugno, quindici avevano effettivamente implementato policy di autenticazione a più fattori. Tuttavia tali regole non coprivano il flusso utilizzato dagli attaccanti oppure erano limitate a specifiche applicazioni cloud, a gruppi di utenti privilegiati o a determinate aree geografiche. In altri casi la protezione era stata configurata in modalità Report Only, consentendo agli amministratori di monitorarne il funzionamento senza applicarla realmente. Questo ha creato un falso senso di sicurezza: le aziende ritenevano di aver distribuito l’MFA sull’intera organizzazione, mentre alcune modalità di autenticazione legacy continuavano a rimanere escluse dai controlli.
L’infrastruttura di LSHIY LLC e l’uso di IPv6

Huntress ha ricondotto gran parte del traffico all’Autonomous System AS32167, appartenente a LSHIY LLC, con particolare riferimento al prefisso IPv6 2a0a:d683::/32. L’azienda risulta associata a indirizzi registrati tra Hong Kong, Wuhan e uno spazio di coworking a New York, un quadro che rende difficile attribuire con certezza l’origine dell’attività. I ricercatori hanno segnalato l’abuso al provider attraverso i consueti canali dedicati, senza ricevere risposte al momento della pubblicazione. L’utilizzo estensivo di indirizzi IPv6 rappresenta inoltre una sfida aggiuntiva per molti sistemi di difesa, ancora fortemente orientati al monitoraggio e al blocco del traffico IPv4.
Credenziali compromesse restano il punto debole

La campagna dimostra che il fattore determinante non è rappresentato da sofisticate tecniche di exploit, ma dalla disponibilità di credenziali valide provenienti da precedenti compromissioni. Password riutilizzate, mai ruotate o presenti in database sottratti durante vecchi data breach continuano a fornire agli aggressori un accesso efficace agli ambienti cloud. Quando queste credenziali vengono combinate con configurazioni incomplete di Conditional Access, il rischio aumenta sensibilmente anche in presenza di politiche MFA formalmente attive. Per questo motivo Huntress sottolinea l’importanza di integrare il monitoraggio delle autenticazioni con controlli continui sulla qualità delle configurazioni di sicurezza e sull’esposizione delle credenziali aziendali.
Come rafforzare la difesa contro campagne simili
Per mitigare questo tipo di attacchi gli esperti raccomandano di estendere le policy di Conditional Access a tutti gli utenti, tutte le applicazioni cloud e tutti i tipi di client, eliminando eccezioni non strettamente necessarie. Dove possibile è opportuno bloccare completamente i flussi di autenticazione legacy, incluso ROPC, privilegiando i moderni meccanismi di autenticazione previsti da OAuth 2.1. La rotazione periodica delle password, il controllo delle credenziali esposte nei data breach e l’adozione di soluzioni passwordless, passkey o basate su FIDO2 riducono drasticamente l’efficacia delle campagne di password spray. Allo stesso tempo il monitoraggio continuo dei tentativi di autenticazione, comprese le connessioni provenienti da reti IPv6, consente di individuare rapidamente anomalie e bloccare operazioni automatizzate prima che si trasformino in compromissioni degli account aziendali.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









