Grupo Helix usa vishing e abuso de MFA para roubar dados em ambientes SharePoint

Um novo grupo de extorsão de dados, designado Helix, foi identificado pela empresa de cibersegurança ReliaQuest numa campanha dirigida a ambientes Microsoft 365. O grupo combina vishing (phishing por voz), device code phishing e abuso de autenticação multifator para aceder a contas corporativas e exfiltrar, de forma automatizada, grandes volumes de ficheiros armazenados no SharePoint. Os dados roubados são depois usados para extorquir as organizações vítimas, sob ameaça de publicação, ou vendidos a outros cibercriminosos.

O que é o grupo Helix e como opera

A ReliaQuest identificou um grupo até então desconhecido, denominado “Helix”, que conduz uma campanha de extorsão de dados contra múltiplos alvos, recorrendo a vishing, device code phishing e exfiltração automatizada do SharePoint, toda assente em infraestrutura partilhada. A descoberta foi publicada num relatório de ameaças da empresa e rapidamente confirmada por outras fontes independentes da indústria, incluindo a CybersecurityNews e a SecurityBrief.

O Helix emergiu como um grupo de extorsão de dados ágil que visa utilizadores do Microsoft 365 através de esquemas telefónicos e phishing orientado para a nuvem, em vez de recorrer a infecções por malware tradicionais. A campanha distingue-se pelo facto de assentar no abuso de identidade, em vez de comportamentos ruidosos típicos do ransomware.

A cadeia de ataque: do telefonema à exfiltração em massa

O ataque começa sempre por engenharia social de alta precisão. O Helix inicia com reconhecimento cuidadoso. Os operadores telefonam aos alvos com pretextos convincentes, chegando por vezes a falsificar o nome e o identificador de chamada de um superior hierárquico direto, para levar o utilizador a realizar um fluxo de autenticação por código de dispositivo.

Num caso confirmado de vishing, o chamador fez-se passar pelo chefe da vítima e guiou-a pela introdução de um código de dispositivo no Chrome. A vítima nunca partilhou uma credencial por telefone. Toda a troca foi concebida para capturar um token de sessão através do fluxo de código de dispositivo, dando ao operador acesso autenticado sem nunca tocar na palavra-passe.

Esta técnica é particularmente insidiosa porque não exige que a vítima revele qualquer palavra-passe. As vítimas podem ser persuadidas a introduzir um código de dispositivo, entregando ao atacante uma sessão válida que contorna muitos dos sinais de alerta que os defensores associam habitualmente ao roubo de credenciais.

Uma vez obtido o acesso, o grupo age com rapidez. Dentro do ambiente comprometido, os operadores do Helix registam de imediato uma nova aplicação de autenticação multifator para garantir persistência, e depois percorrem e enumeram o SharePoint antes de exfiltrar os ficheiros. A ReliaQuest constatou ainda que o Helix registou subdomínios específicos para cada alvo sob um domínio de phishing, utilizou infraestrutura de proxy residencial correspondente à cidade da vítima e rotacionou por vários endereços de origem para tornar os acessos mais difíceis de detetar.

A rapidez de execução varia conforme os casos. Em alguns incidentes, a passagem do acesso inicial à exfiltração em massa ocorreu em menos de uma hora; noutros, o atacante passou dias a ler silenciosamente os e-mails, a rever páginas de sites e a preparar uma transferência de dados de maior escala.

A impressão digital técnica: exfiltração automatizada do SharePoint

O traço técnico mais distintivo do Helix reside na forma como extrai os dados. A recolha automatizada do SharePoint constitui a impressão digital técnica mais clara. A enumeração partiu do endereço IP 179.43.185[.]230, utilizando o agente de utilizador python-requests/2.28.1, e envolveu pesquisas no SharePoint concebidas para mapear todo o conteúdo acessível antes de descarregar os ficheiros em massa.

É de notar que esse IP alojado foi utilizado exclusivamente para exfiltração e não para o acesso inicial. O padrão sugere uma separação deliberada entre a fase de autenticação — que recorreu a infraestrutura residencial para imitar um utilizador normal — e a fase de recolha, assente num sistema fixo para o roubo de dados por script.

A persistência é igualmente assinalável. Nalguns casos, o atacante chegou a tentar re-registar a autenticação multifator e a repor a palavra-passe poucos minutos após a conta ter sido desativada, evidenciando quão estreita pode ser a janela de resposta.

Ligações ao ecossistema BlackFile e ShinyHunters

A análise da infraestrutura permitiu à ReliaQuest estabelecer ligações a grupos anteriores conhecidos, ainda que sem atribuição definitiva. A cadeia de ataque do Helix espelha de perto a do grupo entretanto extinto “BlackFile” (UNC6671), que se fragmentou em várias operações sucessoras, incluindo “Pink” e “Redact”, após encerrar em abril de 2026. O domínio de phishing está registado através de um registador utilizado anteriormente em campanhas do BlackFile e dos “ShinyHunters” (UNC6661), um grupo de extorsão de dados de grande notoriedade.

O domínio foi registado através da NICENIC, um registador que apareceu em campanhas anteriores ligadas ao BlackFile, ao ShinyHunters e à rede mais ampla Scattered Spider ou The Com. O encerramento do BlackFile em abril de 2026 gerou marcas sucessoras como Pink e Redact em poucas semanas, e o surgimento do Helix continua essa tendência: nomes diferentes mas táticas, técnicas e procedimentos recorrentes — vishing, device code phishing, abuso de MFA e alvejamento do SharePoint — e registadores e fornecedores de alojamento partilhados.

O Helix, como muitos outros grupos ativos hoje em dia, é orientado para a identidade e não para o malware — um padrão que a ReliaQuest tem observado de forma consistente ao longo de 2025 e 2026.

Medidas de defesa recomendadas

A ReliaQuest identifica um conjunto de controlos prioritários para mitigar o risco associado ao Helix e a grupos com tácticas semelhantes.

Desativar a autenticação por código de dispositivo é a ação de maior impacto isolado. Restringir as aplicações SaaS sensíveis a terminais geridos e bloquear domínios recém-registados fecha os restantes pontos de entrada de que este manual de ataque depende.

É igualmente aconselhável restringir aplicações SaaS sensíveis exclusivamente a terminais geridos: os operadores do Helix autenticaram-se a partir de dispositivos não geridos e registaram a autenticação multifator neles sem qualquer restrição. Políticas de acesso condicional que exijam conformidade do dispositivo ou adesão ao domínio para aceder ao SharePoint, Exchange e outras aplicações sensíveis teriam bloqueado o acesso pós-comprometimento ao nível da sessão.

As organizações devem instrumentar os registos de identidade para fluxos de código de dispositivo, monitorizar pesquisas contentclass:STS_Site e agentes de utilizador python-requests contra o SharePoint, e tratar IPs alojados utilizados exclusivamente para transferências em massa como indicadores de alta fidelidade.

Passos de resposta padrão como reposição de palavras-passe, revogação de sessões e desativação de contas funcionaram geralmente quando aplicados com rapidez suficiente. Num dos casos, contudo, o operador testou as medidas de contenção entre 30 a 40 minutos após a desativação da conta, tentando re-registar a MFA e repor a palavra-passe.

Porque é que isto importa

Para as organizações portuguesas, esta ameaça não é teórica. O Microsoft 365 e o SharePoint são ferramentas ubíquas em empresas, organismos públicos e instituições de ensino em Portugal. O Decreto-Lei n.º 125/2025, que transpõe a Diretiva NIS2 para o ordenamento jurídico nacional, impõe às entidades essenciais e importantes obrigações reforçadas em matéria de gestão de riscos de cibersegurança, incluindo controlos de acesso, autenticação e monitorização de incidentes — todos diretamente relevantes para o vetor de ataque explorado pelo Helix. O incumprimento pode resultar em sanções e na obrigação de notificação ao Centro Nacional de Cibersegurança (CNCS) em caso de incidente significativo.

Para as PME, o risco é igualmente real. As organizações que ainda tratam o SharePoint como uma ferramenta de colaboração de baixo risco podem estar a subestimar o seu valor aos olhos de grupos de extorsão. Quando uma identidade comprometida pode expor contratos, planos internos, registos legais e dados de clientes, o repositório na nuvem torna-se simultaneamente o alvo e o instrumento de pressão. O RGPD acrescenta outra camada de risco: uma exfiltração de dados pessoais armazenados no SharePoint pode constituir uma violação de dados pessoais notificável à CNPD no prazo de 72 horas.

O caso do Helix ilustra também uma tendência estrutural mais ampla que os profissionais de segurança devem interiorizar: os atacantes estão a abandonar progressivamente o malware intrusivo em favor da manipulação da identidade. Neste modelo, o elo mais fraco não é o software — é o ser humano que atende o telefone. A formação de sensibilização e a implementação rigorosa de políticas de acesso condicional deixaram de ser recomendações — são requisitos fundamentais de resiliência operacional.

Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pela ReliaQuest, BleepingComputer, CybersecurityNews e SecurityBrief.