Im Kern missbrauchen die Angreifer die OAuth-Client-ID, also die global eindeutige Kennung, die Anwendungen bei Anfragen auf Nutzerdaten als „client_id“ mitgeben. Laut Proofpoint erlaubt das Spoofing solcher Client-IDs eine Kontenermittlung auch ohne registrierte OAuth-Anwendung. Gleichzeitig können Angreifer erkennen, ob sowohl das Konto existiert als auch das Passwort korrekt ist, ohne ein erfolgreiches Anmeldeereignis auszulösen.

Proofpoint-Forscherin Rachel Rabin bezeichnete die Entra-Anmeldeprotokolle als eine zentrale Telemetriequelle, um bösartige Authentifizierungsaktivitäten wie Benutzerermittlung, Passwort-Spraying und Versuche des Erstzugriffs zu erkennen. Genau hier setzt die neue Technik an: Bei Anfragen an den OAuth-2.0-Token-Endpunkt von Microsoft über den Resource Owner Password Credentials Flow übermitteln die Akteure syntaktisch gültige Client-IDs, die jedoch keiner realen Anwendung zugeordnet sind.

In diesen Fällen wird im Entra-Anmeldeprotokoll laut Proofpoint nur die Anwendungs-ID verzeichnet, nicht aber ein zugehöriger Anwendungsname. Die Antwort mit einem AADSTS-Fehlercode kann anschließend ausgewertet werden, um zu erkennen, ob ein Konto existiert und ob das Passwort stimmt — und das ohne registrierte Anwendung. Proofpoint betont zudem, dass Entra eine Anfrage nicht sofort verwirft, wenn eine manipulierte Client-ID keine korrekte UUIDv4 ist. Auch dadurch lassen sich Fehlerrückgaben zur Identifikation gültiger Konten und Passwörter auswerten.

Weil bei einer manipulierten Client-ID kein passender Anwendungsname im Anmeldeprotokoll erscheint, können Erkennungsmechanismen ins Leere laufen, die auf Auffälligkeiten bei einer bestimmten Anwendung achten. Nach Einschätzung von Proofpoint erschwert das die Korrelation verdächtiger Aktivitäten erheblich. Zugleich können Angreifer mit den gewonnenen Informationen gezielt Konten auswählen, die sich für einen unauffälligen Zugriff eignen.

Bereits zuvor hatte Proofpoint bei Clustern wie UNK_CustomCloak beobachtet, dass diese User-Agent-Zeichenfolgen fälschten, um Brute-Force-Kampagnen gegen Microsoft-Entra-ID-Umgebungen zu steuern. Dabei wurde eine ältere, eingestellte First-Party-Anwendung namens Windows Live Custom Domains missbraucht, um übliche Anmeldebeschränkungen zu umgehen und Passwörter über mehr als 4.000 Mandanten hinweg zu prüfen.

Die nun beobachteten Aktivitäten wertet Proofpoint als Weiterentwicklung dieser Vorgehensweise. Das Unternehmen identifizierte zwei große Kampagnen, die die Technik gegen Ende Dezember 2025 unabhängig voneinander übernommen haben sollen: UNK_OutFlareAZ und UNK_pyreq2323. Beide nutzten gültige UUIDs statt fehlerhafter Kennungen und zeigten Muster, die laut Proofpoint zu vorab erstellten Wortlisten mit Benutzernamen passen.

Zwischen den beiden Kampagnen gab es aber Unterschiede. UNK_OutFlareAZ zählte Nutzer alphabetisch auf und erzeugte für jede Anfrage eine eigene Client-ID. UNK_pyreq2323 veränderte dagegen die Endziffern einer bekannten Anwendungs-ID und verwendete manipulierte IDs bei bis zu zwölf Nutzern erneut. Proofpoint zufolge erschwert diese Verteilung von Authentifizierungsversuchen über viele fiktive Anwendungen die Korrelation zusätzlich und kann Erkennungen pro Anwendung sowie Ratenbegrenzungen umgehen. Auch Conditional-Access-Richtlinien, die auf bestimmte Anwendungen zugeschnitten sind, greifen bei manipulierten Client-IDs laut Proofpoint nicht.