Een nieuwe afpersgroep die zich Helix noemt breekt in bij Microsoft 365-omgevingen met valse telefoontjes en device-code phishing, en trekt daarna geautomatiseerd hele SharePoint-bibliotheken leeg. Dat meldt beveiligingsbedrijf ReliaQuest, dat de groep deze week voor het eerst beschreef.
De zwakke plek is deze keer geen wachtwoord, maar een functie van Microsoft 365 zelf. Helix vraagt slachtoffers geen inloggegevens, maar laat ze een device-code invoeren, waarna de aanvaller een geldige sessie in handen heeft. Elk bedrijf dat op Microsoft 365 draait en documenten in SharePoint bewaart, valt daarmee binnen het bereik, hoe sterk de wachtwoorden ook zijn.

Hoe de aanval verloopt
Het begint met een telefoontje. Een operator belt een medewerker, doet zich voor als diens leidinggevende, compleet met de echte naam en soms een vervalste beller-ID, en praat het slachtoffer door een device-code-inlog in Chrome. Er wordt nooit een wachtwoord getypt: de aanvaller vangt de sessietoken op die de identiteitsprovider afgeeft en omzeilt zo ook Conditional Access. De inlog komt binnen vanaf een onbeheerd apparaat via een woon-IP dat is afgestemd op de locatie van het slachtoffer, zodat alarmen voor een onmogelijke reis niet afgaan.
Binnen enkele minuten registreert de groep een eigen MFA-authenticator op het account. Dat is de persistentie: een volstrekt normaal ogende handeling die zonder context nauwelijks opvalt. Daarna schakelt Helix over van handmatig rondkijken naar geautomatiseerd oogsten. Vanaf een aparte server haalt de groep in bulk hele SharePoint-bibliotheken op met geautomatiseerde zoekopdrachten, herkenbaar aan zoekregels als contentclass:STS_Site en een python-requests-user-agent. In sommige gevallen begon dat leegtrekken al zes minuten na de eerste inlog. De doorlooptijd liep uiteen van minder dan een uur tot ruim een week, waarbij de operator tegen één postbus meer dan vijftien woon-IP's afwisselde.
Bekende technieken, nieuwe naam
Helix staat niet op zichzelf. ReliaQuest koppelt de infrastructuur en werkwijze aan het versplinterde afpers-ecosysteem waar eerder groepen als BlackFile (UNC6671) en ShinyHunters (UNC6661) uit voortkwamen: de exfiltratieserver staat bij dezelfde hostingprovider, vier IP-adressen naast een adres dat eerder aan BlackFile werd gekoppeld. De groep dook op kort nadat BlackFile in april 2026 stopte en opsplitste in opvolgers als Pink en Redact. De namen wisselen, de technieken blijven: vishing, device-code phishing, MFA-misbruik en SharePoint als doelwit.
Dat patroon is niet nieuw voor wie de aanvallen op Microsoft 365 volgt. Een dag eerder werd bekend dat een andere groep Microsoft 365-gebruikers een frauduleuze Entra-passkey aanpraat om SharePoint en OneDrive af te tappen, die eveneens afperst onder de naam Pink. Waar die campagne mikt op het registratiemoment van een passkey, gebruikt Helix de device-code-flow. Het doel is identiek: een geldige identiteit, niet een gekraakt wachtwoord.
Nog geen Nederlandse slachtoffers, wel een universeel risico
ReliaQuest noemt geen concrete slachtoffers, en er zijn tot nu toe geen meldingen van getroffen Nederlandse of Europese organisaties. Dat zegt weinig over het risico: de aanval mikt niet op een lek in specifieke software, maar op de identiteitslaag die elke Microsoft 365-omgeving deelt. Een tenant in Rotterdam is technisch even bereikbaar als een in Chicago.
Wat je kunt doen
De verdediging zit in de identiteitsinstellingen en in snelheid. Het uitschakelen van device-code-authenticatie waar je die niet nodig hebt, noemt ReliaQuest de maatregel met veruit de grootste impact. Beperk daarnaast de toegang tot gevoelige SaaS en SharePoint tot beheerde apparaten via Conditional Access, blokkeer vers geregistreerde domeinen, en zet meldingen aan zodra er een nieuwe MFA- of passkey-methode wordt toegevoegd. Detecteer de keten zelf: een onbekende inlog, gevolgd door een nieuwe MFA-registratie en kort daarna SharePoint-zoekopdrachten vanaf een hosting-IP, is het handtekeningpatroon.
Even belangrijk is de reactietijd. Omdat er soms maar minuten zitten tussen de overname en het leegtrekken, telt elke seconde: sessies beëindigen, het account tegelijk in Active Directory en Entra ID uitschakelen en wachtwoorden resetten moet in één handeling kunnen. Zoals bij eerdere golven van dit soort aanvallen begint de verdediging bij je proces, niet bij je software: techniek die je account overneemt zonder ooit je wachtwoord te vragen, stopt niet bij een strenger wachtwoordbeleid.
De verschuiving die Helix laat zien is groter dan één groep. Het aanvalsoppervlak is verplaatst van het apparaat naar de identiteitsprovider: wie een geldige sessie kan aanpraten, hoeft geen malware meer te plaatsen. Identiteit-eerst binnenkomen en daarna geautomatiseerd de cloud leegtrekken is inmiddels de dominante vorm van data-afpersing. En SharePoint, waar de meeste bedrijven hun documenten centraal bewaren, is precies waar dat het meest pijn doet.
Veelgestelde vragen
Je identiteitslaag dichttimmeren
Aanvallen als deze mikken niet op je software maar op je toegang en je processen. Ik denk mee, ontwerp en bouw de koppelingen, monitoring en automatisering die een verdachte inlog of datastroom in je Microsoft 365-omgeving meteen zichtbaar en stopbaar maken.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
