En ny cyberbrottsgrupp vid namn Pink riktar in sig på företag för att stjäla data och kräva lösensumma. Det är säkerhetsforskare från Palo Alto Networks enhet Unit 42 som avslöjat gruppen, som spåras under koden CL-CRI-1147 och tros ha kopplingar till det bredare Com-nätverket.

Den 31 maj 2026 lanserade Pink en egen läckasajt där de listade sina första offer. Den 4 juni publicerade säkerhetsföretaget Gurucul en kompletterande analys för att hjälpa företag att känna igen gruppens spår i sina nätverk.

Så går attacken till

Pink använder inte traditionell skadlig kod. I stället förlitar sig gruppen på röstfiske, så kallat vishing, där angriparna ringer upp anställda och utger sig för att vara interna IT-tekniker. Offret manipuleras till att besöka falska domäner som passkeyaddcom eller passkeydeploy.com och mata in sina inloggningsuppgifter.

När uppgifterna är stulna kapas den aktiva sessionen, vilket gör att angriparna kan kringgå flerfaktorautentisering. Väl inne i Microsoft 365 använder de Microsofts egna automatiserade verktyg för att på bara några minuter tömma filer från OneDrive och SharePoint.

Därefter börjar utpressningen. Pink använder de kapade kontona för att skicka mail till kollegor och Teams-meddelanden till chefer med krav på betalning inom 72 timmar.

Svårt att upptäcka

Guruculs analys visar att Pink också använder fillfria metoder för att hålla sig dold på lokala arbetsstationer. I stället för att ladda ner en fil bygger gruppen sin kod direkt i datorns tillfälliga minne, osynligt för vanliga antivirusprogram. Koden kontrollerar också miljön den körs i: om den känner av en säkerhetslaboratoriemiljö eller sandlåda döljer den sitt beteende.

Vad företag bör göra

Attacken visar hur sårbar MFA kan vara när angripare manipulerar människor snarare än system. För att skydda sig rekommenderas företag att:

• Utbilda personal i att känna igen vishing-försök och aldrig lämna ut inloggningsuppgifter via telefon
• Aktivera villkorsstyrd åtkomst i Microsoft 365 och begränsa massedning av filer från molnlagring
• Övervaka ovanliga inloggningsmönster och stora filuttag från OneDrive och SharePoint
• Inför sessionsbegränsningar som kräver omautentisering vid åtkomst från nya enheter eller platser

Pink är ett tydligt exempel på hur moderna cybergrupper prioriterar social manipulation framför tekniska exploateringar. Hotbilden är relevant för alla företag som använder Microsoft 365 och molnlagring.