O artigo fonte dessa publicação cita o The Weak Password Report 2022 da Specops. Lá diz, em tradução livre:
Um ataque de força bruta ocorre quando um agente mal-intencionado pega uma lista de senhas comuns ou comprometidas e sistematicamente as executa no e-mail de um usuário para obter acesso a uma determinada conta.
De acordo com o relatório, esse tipo de ataque é chamado de "password spraying", onde uma pequena lista de senhas comuns (ou senhas encontradas em dumps de senhas violadas) é usada em diversas organizações e serviços.
O relatório também diz:
Os ataques de pulverização de senha ajudam a evitar a detecção por muitas soluções tradicionais de monitoramento de segurança disponíveis, pois o padrão de ataque se parece com as tentativas normais de login com falha. As tentativas não bloqueiam contas nem acionam outros limites de monitoramento.
Só não entendi como fazem isso para o sistema não perceber que é um ataque.