Man in gesprek aan de telefoon achter een laptop op kantoor
Nieuws9 juli · 20:225 min leestijd

Afpersgroep Helix steelt SharePoint-data via vishing en device-code phishing

Een nieuwe afpersgroep, Helix, breekt in bij Microsoft 365 met valse telefoontjes en device-code phishing en trekt hele SharePoint-bibliotheken leeg. ReliaQuest ziet een bekend patroon. Dit betekent het voor je beveiliging.

Een nieuwe afpersgroep die zich Helix noemt breekt in bij Microsoft 365-omgevingen met valse telefoontjes en device-code phishing, en trekt daarna geautomatiseerd hele SharePoint-bibliotheken leeg. Dat meldt beveiligingsbedrijf ReliaQuest, dat de groep deze week voor het eerst beschreef.

De zwakke plek is deze keer geen wachtwoord, maar een functie van Microsoft 365 zelf. Helix vraagt slachtoffers geen inloggegevens, maar laat ze een device-code invoeren, waarna de aanvaller een geldige sessie in handen heeft. Elk bedrijf dat op Microsoft 365 draait en documenten in SharePoint bewaart, valt daarmee binnen het bereik, hoe sterk de wachtwoorden ook zijn.

Het logo van Microsoft SharePoint, de documentomgeving die Helix leegtrekt. Bron: Microsoft / Wikimedia Commons (publiek domein)
Het logo van Microsoft SharePoint, de documentomgeving die Helix leegtrekt. Bron: Microsoft / Wikimedia Commons (publiek domein)

Hoe de aanval verloopt

Het begint met een telefoontje. Een operator belt een medewerker, doet zich voor als diens leidinggevende, compleet met de echte naam en soms een vervalste beller-ID, en praat het slachtoffer door een device-code-inlog in Chrome. Er wordt nooit een wachtwoord getypt: de aanvaller vangt de sessietoken op die de identiteitsprovider afgeeft en omzeilt zo ook Conditional Access. De inlog komt binnen vanaf een onbeheerd apparaat via een woon-IP dat is afgestemd op de locatie van het slachtoffer, zodat alarmen voor een onmogelijke reis niet afgaan.

Binnen enkele minuten registreert de groep een eigen MFA-authenticator op het account. Dat is de persistentie: een volstrekt normaal ogende handeling die zonder context nauwelijks opvalt. Daarna schakelt Helix over van handmatig rondkijken naar geautomatiseerd oogsten. Vanaf een aparte server haalt de groep in bulk hele SharePoint-bibliotheken op met geautomatiseerde zoekopdrachten, herkenbaar aan zoekregels als contentclass:STS_Site en een python-requests-user-agent. In sommige gevallen begon dat leegtrekken al zes minuten na de eerste inlog. De doorlooptijd liep uiteen van minder dan een uur tot ruim een week, waarbij de operator tegen één postbus meer dan vijftien woon-IP's afwisselde.

Bekende technieken, nieuwe naam

Helix staat niet op zichzelf. ReliaQuest koppelt de infrastructuur en werkwijze aan het versplinterde afpers-ecosysteem waar eerder groepen als BlackFile (UNC6671) en ShinyHunters (UNC6661) uit voortkwamen: de exfiltratieserver staat bij dezelfde hostingprovider, vier IP-adressen naast een adres dat eerder aan BlackFile werd gekoppeld. De groep dook op kort nadat BlackFile in april 2026 stopte en opsplitste in opvolgers als Pink en Redact. De namen wisselen, de technieken blijven: vishing, device-code phishing, MFA-misbruik en SharePoint als doelwit.

Dat patroon is niet nieuw voor wie de aanvallen op Microsoft 365 volgt. Een dag eerder werd bekend dat een andere groep Microsoft 365-gebruikers een frauduleuze Entra-passkey aanpraat om SharePoint en OneDrive af te tappen, die eveneens afperst onder de naam Pink. Waar die campagne mikt op het registratiemoment van een passkey, gebruikt Helix de device-code-flow. Het doel is identiek: een geldige identiteit, niet een gekraakt wachtwoord.

Nog geen Nederlandse slachtoffers, wel een universeel risico

ReliaQuest noemt geen concrete slachtoffers, en er zijn tot nu toe geen meldingen van getroffen Nederlandse of Europese organisaties. Dat zegt weinig over het risico: de aanval mikt niet op een lek in specifieke software, maar op de identiteitslaag die elke Microsoft 365-omgeving deelt. Een tenant in Rotterdam is technisch even bereikbaar als een in Chicago.

Wat je kunt doen

De verdediging zit in de identiteitsinstellingen en in snelheid. Het uitschakelen van device-code-authenticatie waar je die niet nodig hebt, noemt ReliaQuest de maatregel met veruit de grootste impact. Beperk daarnaast de toegang tot gevoelige SaaS en SharePoint tot beheerde apparaten via Conditional Access, blokkeer vers geregistreerde domeinen, en zet meldingen aan zodra er een nieuwe MFA- of passkey-methode wordt toegevoegd. Detecteer de keten zelf: een onbekende inlog, gevolgd door een nieuwe MFA-registratie en kort daarna SharePoint-zoekopdrachten vanaf een hosting-IP, is het handtekeningpatroon.

Even belangrijk is de reactietijd. Omdat er soms maar minuten zitten tussen de overname en het leegtrekken, telt elke seconde: sessies beëindigen, het account tegelijk in Active Directory en Entra ID uitschakelen en wachtwoorden resetten moet in één handeling kunnen. Zoals bij eerdere golven van dit soort aanvallen begint de verdediging bij je proces, niet bij je software: techniek die je account overneemt zonder ooit je wachtwoord te vragen, stopt niet bij een strenger wachtwoordbeleid.

De verschuiving die Helix laat zien is groter dan één groep. Het aanvalsoppervlak is verplaatst van het apparaat naar de identiteitsprovider: wie een geldige sessie kan aanpraten, hoeft geen malware meer te plaatsen. Identiteit-eerst binnenkomen en daarna geautomatiseerd de cloud leegtrekken is inmiddels de dominante vorm van data-afpersing. En SharePoint, waar de meeste bedrijven hun documenten centraal bewaren, is precies waar dat het meest pijn doet.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Je identiteitslaag dichttimmeren

Aanvallen als deze mikken niet op je software maar op je toegang en je processen. Ik denk mee, ontwerp en bouw de koppelingen, monitoring en automatisering die een verdachte inlog of datastroom in je Microsoft 365-omgeving meteen zichtbaar en stopbaar maken.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Vishing-campagne verleidt Microsoft 365-gebruikers tot frauduleuze Entra-passkey
Nieuws
4 min

8 jul 20:11

Vishing-campagne verleidt Microsoft 365-gebruikers tot frauduleuze Entra-passkey

Aanvallers bellen medewerkers van bedrijven op Microsoft 365 en praten ze een frauduleuze Entra-passkey aan. Ze nemen intussen het account over en stelen data uit SharePoint en OneDrive. Dit betekent het voor je securitybeleid.

AGCM onderzoekt Microsoft: stille Copilot-upgrade dreef prijs Microsoft 365 op zonder duidelijke toestemming
Nieuws
5 min

27 jun 08:22

AGCM onderzoekt Microsoft: stille Copilot-upgrade dreef prijs Microsoft 365 op zonder duidelijke toestemming

De Italiaanse mededingingsautoriteit onderzoekt of Microsoft abonnees misleidde door Copilot ongemerkt in Microsoft 365 te bundelen en ze standaard op een duurder plan te zetten. Wat betekent dat voor Nederlandse gebruikers en bedrijven?

Datalek bij Avans: gegevens van 17.500 mensen bijna een jaar lang toegankelijk door verkeerde instelling
Nieuws
5 min

1 jul 12:07

Datalek bij Avans: gegevens van 17.500 mensen bijna een jaar lang toegankelijk door verkeerde instelling

Een configuratiewijziging in een Microsoft-omgeving maakte gevoelige persoonsgegevens bijna een jaar toegankelijk binnen Avans' systeem AMIGO. Geen hack, wel een pijnlijke les over toegangsbeheer voor elk bedrijf.

Van Microsoft 365 naar een soevereine werkplek: stappenplan met Nextcloud, e-mail en Linux
Gids
10 min

26 jun 09:00

Van Microsoft 365 naar een soevereine werkplek: stappenplan met Nextcloud, e-mail en Linux

Stap voor stap je werkplek losmaken van Microsoft 365: Nextcloud voor bestanden en samenwerking, een soevereine mailoplossing en Linux op de desktop, met de kosten en valkuilen eerlijk op een rij.

Microsoft Copilot Cowork: AI die je taken niet bedenkt maar uitvoert
Nieuws
5 min

5 mei 18:54

Microsoft Copilot Cowork: AI die je taken niet bedenkt maar uitvoert

Microsoft breidde begin mei 2026 Copilot Cowork uit met mobiel, eigen skills en plug-ins. Een AI die zelf meerstapstaken afhandelt. Wat is er nieuw en wat kun jij er morgen mee?

OpenAI lanceert ChatGPT Work: AI-agent die uren kantoorwerk zelfstandig afmaakt
Nieuws
4 min

10 jul 08:12

OpenAI lanceert ChatGPT Work: AI-agent die uren kantoorwerk zelfstandig afmaakt

OpenAI lanceert ChatGPT Work, een AI-agent die zelfstandig uren aan kantoorwerk werkt en afgeronde documenten oplevert. Daarmee krijgt de agent-race met Claude Cowork en Microsoft Copilot een derde speler, draaiend op het nieuwe model GPT-5.6.