🛡️ Executive Summary
- Il gruppo Helix utilizza vishing, device code phishing e proxy residenziali per compromettere account Microsoft 365 ed esfiltrare dati da SharePoint.
- Forg365 offre una piattaforma phishing-as-a-service distribuita via Telegram con funzionalità AiTM, gestione dei token e persistenza delle sessioni.
- Le due campagne confermano la crescita degli attacchi basati sull’identità, sempre meno dipendenti da malware tradizionali.
Le campagne contro gli ambienti Microsoft 365 stanno attraversando una profonda trasformazione. Gli attaccanti puntano sempre meno sulla distribuzione di malware e sempre più sul furto delle identità digitali, sfruttando i meccanismi di autenticazione legittimi offerti dalle piattaforme cloud. In questo contesto emergono due nuove minacce che mostrano approcci differenti ma complementari: Helix, gruppo specializzato nel data extortion, e Forg365, una piattaforma phishing-as-a-service (PhaaS) distribuita attraverso Telegram. Entrambe sfruttano tecniche di device code phishing, abuso dei token di autenticazione e infrastrutture progettate per eludere i controlli tradizionali. L’obiettivo non è più installare codice dannoso sui dispositivi delle vittime, ma ottenere accesso persistente agli account aziendali, esfiltrare documenti e compromettere caselle di posta elettronica utilizzando sessioni perfettamente valide dal punto di vista dei sistemi di autenticazione.
Cosa leggere
Helix raccoglie l’eredità dei gruppi di data extortion
Secondo le analisi dei ricercatori di sicurezza, Helix è emerso dopo la scomparsa del gruppo BlackFile, adottandone buona parte delle tecniche operative. Le campagne sono rivolte soprattutto a dirigenti, amministratori e dipendenti con privilegi elevati negli ambienti Microsoft 365. La fase iniziale dell’attacco si basa quasi esclusivamente sul vishing, con operatori che impersonano responsabili aziendali utilizzando sistemi di spoofing del numero telefonico per rendere credibile la chiamata. Alla vittima viene chiesto di completare una procedura di autenticazione inserendo un device code in una pagina Microsoft perfettamente legittima. In questo modo gli attaccanti ottengono token di accesso validi senza sottrarre direttamente username e password. Una volta compromesso l’account, Helix registra immediatamente un nuovo metodo di autenticazione MFA, utilizzando proxy residenziali geolocalizzati nella stessa area della vittima e distribuendo l’attività su numerosi indirizzi IP per ridurre le possibilità di rilevamento.
SharePoint diventa il principale obiettivo dell’esfiltrazione
Dopo l’accesso iniziale, gli operatori concentrano le proprie attività soprattutto su SharePoint Online, considerato una delle fonti più preziose di documentazione aziendale. Attraverso interrogazioni mirate vengono individuati siti, raccolte documentali e librerie contenenti dati sensibili, successivamente scaricati in blocco mediante strumenti automatizzati. Le analisi indicano anche l’utilizzo di uno user agent basato su python-requests durante alcune operazioni di download massivo. In determinati scenari il gruppo espande l’attività verso altri servizi cloud collegati all’account compromesso. Il tempo di permanenza negli ambienti varia sensibilmente: alcune operazioni si concludono nell’arco di poche decine di minuti, mentre altre proseguono per diversi giorni, adattandosi al valore dell’obiettivo e al rischio di essere scoperti. Le attività di copertura risultano relativamente limitate e consistono principalmente nella cancellazione delle notifiche di phishing awareness, mentre in alcuni casi gli operatori hanno dimostrato di essere in grado di registrare nuovamente l’autenticazione multifattore anche dopo il tentativo di contenimento da parte degli amministratori.
Forg365 industrializza il phishing contro Microsoft 365

Se Helix rappresenta un gruppo operativo, Forg365 costituisce invece una vera e propria piattaforma commerciale di phishing-as-a-service. Il servizio viene distribuito e supportato interamente tramite Telegram, dove gli operatori ricevono assistenza, aggiornamenti e materiale necessario per avviare campagne contro account Microsoft 365.

La piattaforma mette a disposizione due modalità principali di attacco. La prima sfrutta il device authentication phishing, inducendo la vittima a completare un flusso di autenticazione reale attraverso il Microsoft Authentication Broker. La seconda implementa un’infrastruttura Adversary-in-the-Middle (AiTM) in grado di intercettare cookie e token durante la navigazione. Forg365 automatizza gran parte delle attività attraverso strumenti basati sull’intelligenza artificiale che generano email, pagine di phishing e contenuti personalizzati in funzione del bersaglio, abbassando notevolmente la barriera tecnica per gli operatori meno esperti.
Persistenza delle sessioni e gestione dei token

Uno degli elementi più sofisticati della piattaforma è rappresentato dalla gestione della persistenza. Forg365 include infatti un’estensione per browser denominata ForgCookie, sviluppata secondo lo standard Manifest V3, capace di accedere ai cookie di autenticazione, conservarli e rigenerare automaticamente nuove sessioni sfruttando i flussi OAuth. L’infrastruttura utilizza Cloudflare Pages, Cloudflare Workers, server VPS dedicati e il framework Gophish per la distribuzione delle campagne, integrando inoltre tecniche anti-analisi come codice polimorfico, redirect cifrati e sistemi di rilevamento dei debugger.
| Modulo osservato | Capacità rivelata dal panel |
|---|---|
| Inviti | Autenticazione e verifica del dispositivo con anteprima in tempo reale e modalità persistente. |
| Applicazione OAuth | Flusso di lavoro configurabile per la verifica del consenso all’applicazione OAuth in caso di phishing. |
| Link di reindirizzamento | Instradamento di reindirizzamento specifico per la campagna. |
| Generatore SVG | Reindirizzatori SVG crittografati con AES e dotati di funzionalità anti-bot. |
| Inviare | Campagne, gruppi di email, profili SMTP, modelli e programmazione. |
| Generazione di IA | Generazione di email di phishing e esche direttamente all’interno del pannello di controllo. |
| Deposito dei token | Monitora, importa, esporta e gestisci i token acquisiti. |
| Account Intel | Informazioni sugli account successive alla compromissione. |
| Ascoltatore di parole chiave | Monitoraggio e avvisi relativi alle parole chiave della casella di posta. |
| Collegamenti per gli spettatori | Condivisione della casella di posta in sola lettura con password e scadenza. |
| Estensione ForgCookie | Generazione e aggiornamento dei cookie SSO di Microsoft lato browser. |
L’accesso alla piattaforma segue un modello commerciale con abbonamenti mensili e annuali, comprendendo pannelli di amministrazione per la gestione delle campagne, l’invio di email, il monitoraggio delle compromissioni e la rotazione automatica dei server SMTP. Questa struttura rende disponibile un ecosistema completo per il phishing professionale senza richiedere particolari competenze di sviluppo.
L’identità è il nuovo bersaglio delle campagne cloud
Le due operazioni mostrano una trasformazione ormai evidente del panorama delle minacce. In entrambi i casi il malware tradizionale assume un ruolo secondario, mentre l’obiettivo principale diventa il controllo delle identità digitali e delle sessioni di autenticazione. L’utilizzo di device code phishing, proxy residenziali, token validi e autenticazione multifattore aggirata attraverso flussi legittimi rende molto meno efficaci le difese basate esclusivamente su MFA, geolocalizzazione o reputazione degli indirizzi IP. Le organizzazioni che utilizzano Microsoft 365 dovrebbero monitorare con particolare attenzione i flussi di autenticazione tramite device code, le nuove registrazioni di metodi MFA, le richieste Microsoft Graph non interattive e le attività provenienti da indirizzi IP residenziali apparentemente coerenti con la posizione geografica degli utenti. L’evoluzione di gruppi come Helix e di piattaforme come Forg365 conferma che il futuro degli attacchi cloud sarà sempre più orientato verso l’abuso dell’identità digitale, trasformando autenticazione e gestione delle sessioni nel principale fronte di difesa delle infrastrutture enterprise.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









