Uma rede de botnets com mais de 130 mil dispositivos comprometidos está realizando ataques de força bruta contra contas do Microsoft 365 (M365) em todo o mundo, explorando a autenticação básica (Basic Auth) para evitar a verificação em duas etapas (MFA) e obter acesso não autorizado. Segundo um relatório da SecurityScorecard, os invasores utilizam credenciais roubadas por malwares do tipo infostealer para testar combinações de login em larga escala, sem disparar alertas de segurança.

Os ataques exploram sessões de login não interativas, normalmente usadas para autenticação entre serviços e protocolos legados como POP, IMAP e SMTP. Como essas conexões não exigem interação direta do usuário, muitas configurações do MFA não são acionadas, permitindo que invasores verifiquem credenciais furtadas e se infiltrem silenciosamente nas contas. A autenticação básica, ainda habilitada em alguns ambientes, envia as credenciais em texto simples, tornando-se um alvo fácil para esse tipo de ataque. O botnet realiza tentativas massivas de login, utilizando senhas comuns ou vazadas. Como o Basic Auth não é interativo, quando há correspondência das credenciais testadas, os invasores conseguem validar as informações sem serem solicitados a inserir códigos de verificação do MFA.

Com isso, eles acessam serviços legados sem segurança adicional ou realizam ataques de phishing mais sofisticados, explorando a confiança dos usuários. Além disso, a investigação aponta uma possível ligação do botnet com hackers chineses, embora a atribuição ainda não seja definitiva. A infraestrutura da rede está distribuída em seis servidores de comando e controle (C2), hospedados pela Shark Tech (EUA), enquanto o tráfego é roteado por serviços baseados em Hong Kong e China, incluindo a UCLOUD HK e a CDS Global Cloud. Os servidores C2 utilizam Apache Zookeeper e Kafka para gerenciar as operações da botnet, com fuso horário configurado para Asia/Shanghai, indicando que a atividade ocorre desde dezembro de 2024.