Helix-Hackergruppe, Angriffe

Helix-Hackergruppe: Neue Angriffe auf Microsoft 365 ohne Schadsoftware

Veröffentlicht: 09.07.2026 um 23:46 Uhr, Redaktion boerse-global.de

Die Hackergruppe Helix stiehlt Daten aus Microsoft-365-Umgebungen durch Voice-Phishing und Device-Code-Angriffe, ohne Schadsoftware einzusetzen.

Helix: Neue Hacker-Gruppe nutzt Vishing für M365-Datendiebstahl
Helix-Hackergruppe - Helix-Hackergruppe: Neue Angriffe auf Microsoft 365 ohne Schadsoftware 09.07.2026 - Bild: über boerse-global.de

Sicherheitsexperten schlagen Alarm: Eine neue Akteursgruppe namens Helix hat sich auf identitätsbasierten Datendiebstahl spezialisiert.

Anders als klassische Hacker setzt Helix nicht auf Schadsoftware. Die Gruppe nutzt stattdessen Voice Phishing (Vishing) und Device-Code-Phishing, um in Microsoft-365-Umgebungen einzudringen.

So läuft ein Angriff ab

Der Angriffszyklus beginnt meist mit einem betrügerischen Anruf. Die Täter geben sich als Führungskräfte aus und manipulieren Mitarbeiter zur Preisgabe von Informationen. Ziel ist es, die Opfer zur Teilnahme an einem Device-Code-Phishing-Verfahren zu bewegen.

Dabei werden Sitzungs-Token abgegriffen, die den Zugriff auf die Cloud-Infrastruktur ermöglichen – ohne dass klassische Anmeldedaten gestohlen werden müssen. Um dauerhaften Zugriff zu sichern, registrieren die Angreifer eigene Faktoren für die Multi-Faktor-Authentifizierung (MFA).

Dieser MFA-Missbrauch erlaubt es der Gruppe, über längere Zeiträume Daten aus SharePoint-Bibliotheken zu entwenden.

Anzeige

Die Helix-Gruppe nutzt Vishing und Device-Code-Phishing, um in Microsoft-365-Umgebungen einzudringen – ohne Schadsoftware. Dieser kostenlose Leitfaden zeigt, wie Sie Ihre Identitätsdienste absichern und Mitarbeiter sensibilisieren. Jetzt kostenlosen Sicherheitsleitfaden anfordern

Verbindungen zu bekannten Gruppen

Für die Datenexfiltration nutzt Helix automatisierte Skripte mit der Python-Bibliothek „requests“ (Version 2.28.1). Um Entdeckung zu vermeiden, setzen die Hacker auf Residential Proxies.

Analysen der Infrastruktur deuten auf Verbindungen zu bekannten Gruppen wie BlackFile und ShinyHunters hin. Belege dafür: gemeinsame IP-Adressbereiche (darunter 179.43.185[.]230 und 179.43.185[.]226) sowie die über den Dienstleister NICENIC registrierte Domain oskeysync[.]com.

Was Unternehmen jetzt tun sollten

Anzeige

Mitarbeiter werden durch betrügerische Anrufe manipuliert – Helix setzt gezielt auf die menschliche Komponente. Unser Report liefert eine konkrete Checkliste, um Device-Code-Authentifizierung zu deaktivieren und MFA-Missbrauch zu verhindern. Sofort-Maßnahmen gegen Vishing jetzt sichern

Experten raten, die Konfiguration der Identitätsdienste zu überprüfen. Zentrale Empfehlung: Die Device-Code-Authentifizierung deaktivieren – es sei denn, sie ist für den Betrieb zwingend erforderlich.

Da Helix gezielt die menschliche Komponente über Vishing-Anrufe ausnutzt, ist die Sensibilisierung der Mitarbeiter entscheidend. Gegenüber unaufgeforderten Anrufen von vermeintlichen Vorgesetzten ist besondere Vorsicht geboten.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69734825 |