Uma campanha de cibercrime financeiramente motivada está a usar as próprias ferramentas da Microsoft para localizar com precisão os funcionários responsáveis por folhas de pagamento e recursos humanos dentro das organizações, antes de comprometer as suas contas e redirecionar os salários dos colegas para contas bancárias controladas pelos atacantes. O padrão — identificado pelos investigadores da Security Risk Advisors (SRA) e da BushidoToken Threat Intel e reportado a 15 de junho de 2026 — representa uma evolução significativa relativamente a campanhas anteriores do mesmo tipo, introduzindo o uso da Microsoft Graph API como ferramenta de reconhecimento interno.
O contexto: os “Payroll Pirates” e o grupo Storm-2657
A campanha insere-se numa série de ataques que a Microsoft tem designado por “Payroll Piracy” e que associa ao grupo Storm-2657. Documentados pela Microsoft em outubro de 2025 contra universidades norte-americanas, os ataques expandiram-se entretanto para o setor empresarial e, em abril de 2026, a Microsoft reportou uma variante (Storm-2755) a visar trabalhadores canadianos. A nova vaga reportada em junho de 2026 representa uma versão mais sofisticada do mesmo esquema, com o uso da Graph API a dar uma nova dimensão ao ataque.
Como funciona o ataque passo a passo
O ataque divide-se em três fases distintas:
- Fase 1 — Comprometer uma conta inicial: Os atacantes enviam um email de phishing do tipo adversary-in-the-middle (AiTM) que interpõe um proxy entre a vítima e um portal falso de login Microsoft 365. A vítima introduz as suas credenciais e o código MFA, que são capturados em tempo real e usados imediatamente para criar uma sessão autenticada. O atacante passa a ter um token de sessão válido que lhe permite aceder à conta sem precisar da password nem do código MFA — o mecanismo de autenticação multifator convencional não protege contra este tipo de ataque.
- Fase 2 — Reconhecimento com o Microsoft Graph: Esta é a novidade da campanha mais recente. Uma vez dentro da organização com uma conta comprometida, os atacantes usam a Microsoft Graph API — a interface de programação que permite aceder a dados do Microsoft 365 — para consultar o diretório da organização e identificar utilizadores com funções de RH, finanças ou payroll. A pesquisa é feita de forma silenciosa, usando chamadas legítimas à API que não levantam alertas nos sistemas de deteção tradicionais. O resultado é uma lista de alvos de alto valor dentro da própria organização.
- Fase 3 — Desvio de salários: Com os alvos identificados, os atacantes repetem o processo de comprometer as contas dessas pessoas. Uma vez dentro de uma conta de RH, acedem às plataformas de gestão de salários (Workday, SAP SuccessFactors ou equivalentes) via Single Sign-On, e alteram os dados bancários dos funcionários para redirecionar os pagamentos de salário para contas controladas pelos atacantes. Para garantir persistência e ocultar o ataque, criam regras de caixa de entrada que suprimem os emails de notificação automática enviados pelas plataformas de RH, e registam os seus próprios números de telefone como dispositivos MFA nas contas comprometidas.
Porque os sistemas de deteção tradicionais falham
A eficácia deste ataque assenta em dois fatores que o tornam particularmente difícil de detetar:
Em primeiro lugar, o ataque não instala malware nem explora vulnerabilidades de software. Usa credenciais legítimas e ferramentas legítimas — o Microsoft Graph é uma API oficial da Microsoft, usada por milhares de aplicações empresariais todos os dias. As ferramentas de endpoint detection and response (EDR) não têm nada para detetar no dispositivo do atacante porque o ataque ocorre inteiramente na cloud.
Em segundo lugar, o user agent Axios — uma biblioteca JavaScript frequentemente usada por ferramentas de automação — aparece nos logs de autenticação durante as fases de token replay. A presença deste agente em acessos ao OfficeHome, especialmente em padrões repetidos a intervalos de cerca de 30 minutos, é um indicador de comprometimento que as equipas de segurança podem pesquisar retroativamente.
Medidas de proteção recomendadas
- Adotar autenticação resistente a phishing: O MFA convencional — notificações push, códigos SMS, aplicações TOTP — não protege contra ataques AiTM. Apenas passkeys FIDO2/WebAuthn são resistentes por design, porque estão vinculadas ao domínio legítimo e não podem ser interceptadas por um proxy;
- Monitorizar o Axios nos logs de autenticação: A presença do agente Axios em acessos ao OfficeHome é um indicador forte de replay de tokens; padrões repetidos a intervalos regulares merecem investigação imediata;
- Alertas para regras de caixa de entrada: Os atacantes dependem da supressão de notificações de RH para se manterem ocultos; regras de caixa de entrada criadas recentemente, especialmente com filtros em palavras-chave financeiras, devem gerar alertas automáticos;
- Verificação fora de banda para alterações de dados bancários: Qualquer pedido de alteração de dados de pagamento de salário deve ser confirmado por um canal separado — uma chamada telefónica ou presença física — independentemente do canal digital através do qual foi feito o pedido;
- Restringir acesso à Graph API: As equipas de segurança devem auditar quais as aplicações e contas com acesso às permissões da Graph API que permitem consultar o diretório de utilizadores.
Porque é que isto importa para Portugal
As plataformas de gestão de RH e salários baseadas em cloud — Workday, SAP SuccessFactors, Microsoft Dynamics, entre outras — estão amplamente adotadas em empresas portuguesas de média e grande dimensão. O cenário descrito não requer conhecimentos técnicos avançados por parte dos atacantes e é independente do setor: qualquer organização que use o Microsoft 365 e uma plataforma de RH em cloud é um alvo potencial.
No âmbito do Decreto-Lei n.º 125/2025 (transposição da NIS2), as entidades abrangidas têm a obrigação de implementar controlos de acesso adequados e mecanismos de monitorização de atividade anómala. A combinação de phishing AiTM com reconhecimento via Graph API é precisamente o tipo de ameaça que os planos de gestão do risco devem contemplar — e que os testes de segurança habituais frequentemente não cobrem.
Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pela Security Risk Advisors (SRA), pelo Cyber Security News, pelo Microsoft Security Blog e pela BushidoToken Threat Intel, em junho de 2026.