Voor degenen die een vergelijkbaar probleem hebben (TS lijkt de oorzaak te hebben gevonden).
Op het laagste bit van de eerste byte na, zou je uit de eerste 3 bytes van een MAC adres de leverancier van de netwerkinterface moeten kunnen afleiden. Deze 24 - 1 bits zijn bekend als OUI (Organizational Unique Identifier).
Als elke NIC leverancier, gegeven die eerste 3 bytes, elke combinatie van de laatste 3 bytes maximaal 1 keer uitgeeft, is het uitgesloten dat je ooit twee devices met hetzelfde MAC-adres aan jouw netwerk hebt (en dat wil je echt niet, want als je dat niet weet zoek je je suf).
Met de opkomst van virtualisatie ontstond al een probleem, maar er blijken nu fabrikanten te zijn die gewoon de eerste 3 bytes hergebruiken die aan andere (betalende) fabrikanten zijn toegekend. Bijv. in
https://seclists.org/fulldisclosure/2018/Oct/22 kun je lezen dat Xiongmai (voluit "Hangzhou Xiongmai Technology Co., Ltd", een grote fabrikant van IP-camera's die onder veel andere merknamen worden verkocht, de volgende OUI's heeft gejat (met daarbij OUI's die je nu of binnenkort best in je thuisnetwerk zou kunnen tegenkomen, vet gemaakt door mij):
001210 WideRay Corp
001211 Protechna Herbst GmbH & Co. KG
001212 PLUS Corporation
001213 Metrohm AG
001214 Koenig & Bauer AG
001215 iStor Networks, Inc.
001216 ICP Internet Communication Payment AG
001217 Cisco-Linksys, LLC
001218 ARUZE Corporation
003E0B - Not assigned
Zie
https://sec-consult.com/en/blog/2018/10/millions-of-xiongmai-video-surveillance-devices-can-be-hacked-via-cloud-feature-xmeye-p2p-cloud/ voor het hele verhaal over deze fabrikant die meer geschreven en ongeschreven regels aan zijn laars lapt.
Daarnaast is het meestal niet moeilijk om een MAC adres permanent te veranderen, en het on-the-fly wijzigen van afzender MAC adressen stelt helemaal niks voor.
Kortom, dat het om een MAC adres gaat dat alleen door NICs van "Hon Hai Precision Ind. Co.,Ltd." gebruikt zouden horen te worden, zou kunnen kloppen, maar misschien ook niet.