Novo grupo Helix de vishing surge em ataques de roubo de dados no SharePoint
10 de Julho de 2026

Um novo grupo de extorsão de dados chamado Helix está usando táticas centradas em identidade, como phishing por voz, phishing com código de dispositivo e abuso da autenticação multifator (MFA), para roubar dados de ambientes SharePoint.

O contato inicial costuma ocorrer por vishing.

Em alguns casos, o threat actor liga para funcionários fingindo ser o gerente deles, usando o nome do gestor ou spoofing de identificador de chamadas para parecer legítimo.

O objetivo é enganar a vítima e levá-la a cair em esquemas de phishing com código de dispositivo, permitindo o acesso às contas.

Depois de entrar, os operadores do Helix rapidamente registram um novo aplicativo de autenticação multifator para manter a persistência e, em seguida, navegam pelo SharePoint, enumeram conteúdos e exfiltram arquivos.

Segundo pesquisadores da empresa de cibersegurança ReliaQuest, os dados roubados são normalmente usados para extorquir as organizações vítimas, com ameaça de publicação caso o resgate não seja pago, ou então vendidos a outros cibercriminosos.

O comportamento de exfiltração no SharePoint é a assinatura técnica mais forte do Helix.

“A enumeração e a coleta automatizadas foram idênticas em todos os incidentes e representam a assinatura mais confiável.

A enumeração foi executada a partir de 179.43.185[.]230 usando o user-agent python-requests/2.28.1”, afirmam os pesquisadores.

“O operador emitiu buscas no SharePoint com contentclass:STS_Site e curinga (*) para inventariar todo o conteúdo acessível e, em seguida, fez o download em massa a partir do mesmo IP e user-agent.”

A ReliaQuest acredita que o Helix surgiu dos grupos de extorsão de dados ShinyHunters e BlackFile com base nas técnicas e na infraestrutura usadas, embora os pesquisadores não tenham encontrado uma ligação definitiva.

No mês passado, Medtronic, Nissan, NAIC, Kodak, Infinite Campus e a Nottingham University confirmaram incidentes de violação de dados que já haviam sido atribuídos ao ShinyHunters.

O grupo BlackFile, hoje desativado, atacava organizações com ataques baseados em identidade e engenharia social antes de encerrar suas operações em abril.

A pesquisa da ReliaQuest mostrou que um ataque do Helix usou um endereço IP de exfiltração no mesmo sistema autônomo (AS 51852) que hospedava um endereço IP confirmado do BlackFile, o que sugere o compartilhamento de recursos.

Além disso, o surgimento do Helix logo após o fim do BlackFile pode indicar uma possível continuidade da operação extinta.

A ReliaQuest também cita Pink e Redact como possíveis sucessores.

Quanto à ligação com o ShinyHunters, o Helix adota um manual de engenharia social muito semelhante, incluindo vishing, impersonação de funcionários, foco no Microsoft 365 e roubo de dados do SharePoint.

Outro indício é o uso do registrador NICENIC, que também apareceu em campanhas anteriores do ShinyHunters.

Como medida defensiva de maior impacto contra ataques do Helix, os pesquisadores recomendam desativar a autenticação por código de dispositivo sempre que possível.

Outras recomendações incluem restringir o acesso ao SharePoint apenas a dispositivos gerenciados e bloquear trocas com domínios recém-registrados, que o Helix costuma usar em seus ataques.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...