El grupo UNC6692 está combinando bombardeo de correo e ingeniería social por Microsoft Teams para que empleados instalen un falso parche que en realidad despliega el conjunto malicioso Snow. La cadena facilita control remoto, movimiento lateral y termina con robo de datos críticos, incluida la base de datos de Active Directory.
El uso de herramientas de trabajo diario como Microsoft Teams está consolidándose como vía de entrada para intrusiones dirigidas, porque permite a los atacantes interactuar con la víctima con un nivel de inmediatez y ‘apariencia de soporte’ que el correo tradicional no siempre consigue. En esta campaña, atribuida a UNC6692, el objetivo no es solo infectar un equipo, sino convertir un engaño puntual en un compromiso completo del entorno, con impacto directo sobre credenciales, sistemas internos y, en último término, el dominio.
La operación arranca con bombardeo de correos, una avalancha de mensajes que busca saturar al usuario y crear urgencia. En ese contexto, el atacante inicia un chat por Teams haciéndose pasar por personal de helpdesk y ofrece una solución rápida. El paso clave es inducir a la víctima a instalar un supuesto ‘parche’ para frenar el spam. Ese instalador actúa como dropper y ejecuta scripts de AutoHotkey que preparan el terreno para una cadena de herramientas a medida.
Una pieza central es SnowBelt, una extensión maliciosa orientada a Chrome, que se carga y opera en una instancia de Microsoft Edge sin interfaz visible, reduciendo la probabilidad de que el usuario detecte actividad extraña. Para mantenerse, los atacantes crean tareas programadas y un acceso directo en la carpeta de inicio, y además despliegan tareas adicionales para relanzar Edge en modo oculto con la extensión activa y para identificar y cerrar procesos de Edge ‘no deseados’ según módulos cargados.
A nivel funcional, SnowBelt sirve como persistencia y como relé de órdenes hacia SnowBasin, una puerta trasera en Python capaz de ejecutar comandos CMD y PowerShell, devolver resultados y habilitar acciones típicas de intrusión, como shell remota, descarga y exfiltración de ficheros, capturas de pantalla y operaciones básicas de gestión de archivos. Para camuflar y estabilizar las comunicaciones entra en juego SnowGlaze, que levanta un túnel WebSocket seguro contra infraestructura en la nube, se disfraza con un User Agent de Edge y utiliza credenciales embebidas. Este túnel puede habilitar funciones tipo SOCKS proxy para encaminar tráfico TCP arbitrario a través del equipo comprometido, y se han observado sesiones de PsExec y RDP circulando por ese canal.
La fase posterior se orienta al dominio. Se realiza reconocimiento interno y escaneo de servicios como SMB y RDP, incluyendo puertos 135, 445 y 3389, para localizar objetivos con valor. Para escalar, se han visto técnicas de acceso a credenciales mediante volcado de memoria de LSASS, incluso usando el Administrador de tareas de Windows, y después pass the hash para movimiento lateral. El objetivo final es llegar al controlador de dominio y extraer la base de datos NTDS de Active Directory, junto con los hives SYSTEM, SAM y SECURITY. En los casos documentados, se ha utilizado FTK Imager para la adquisición y LimeWire como canal de exfiltración. También se ha observado actividad de captura de pantalla en controladores de dominio, con foco en ventanas en primer plano como Microsoft Edge y FTK Imager, para apoyar operaciones guiadas por el operador.
El engaño inicial incorpora defensas contra análisis: un ‘gatekeeper’ limita la entrega de carga a objetivos concretos y dificulta que sandboxes capturen el flujo completo. La infraestructura de suplantación se apoya en inquilinos desechables onmicrosoft.com y, en parte de la actividad, se han vinculado orígenes a direcciones IP relacionadas con Rusia. La página de suplantación impone condiciones de ejecución, exige un parámetro email en la URL y redirige a about:blank si falta, y además empuja al usuario a abrir el enlace en Edge con el esquema microsoft-edge. Para el robo de credenciales se emplea una ‘doble validación’, rechazando la contraseña las dos primeras veces para que la víctima repita el secreto, y después se suben credenciales y metadatos a buckets de Amazon S3 controlados por el atacante. A nivel técnico, SNOWBELT incorpora generación de URLs de mando y control basada en franjas temporales, usa AES-GCM para artefactos, y abusa de push notifications del navegador con una clave VAPID embebida para activar ejecución con baja latencia. También puede interactuar con componentes locales mediante Native Messaging e intentar disparar URI schemes para interactuar con aplicaciones de escritorio.
La tendencia que subyace es clara: en telemetría reciente se aprecia una automatización elevada en la secuencia ‘bombardeo de correo, contacto por Teams’, con chats iniciados con diferencias de decenas de segundos entre múltiples objetivos. Entre el 1 de marzo y el 1 de abril de 2026, una parte muy significativa de los incidentes con este patrón se dirigió a perfiles de liderazgo, con mayor concentración en sectores como manufactura y servicios profesionales, científicos y técnicos. Además, se ha visto abuso de herramientas RMM legítimas, como Supremo Remote Desktop y Quick Assist, para convertir la interacción social en control remoto en cuestión de minutos, y en campañas de esta clase se han documentado también movimientos laterales con WinRM hacia activos de alto valor y exfiltración con herramientas de sincronización como Rclone.
Para reducir el riesgo, es prioritario endurecer controles donde el atacante se apoya en comportamientos ‘normales’. Conviene restringir o bloquear extensiones no autorizadas en Chrome y Edge con políticas de lista blanca, y detectar o limitar AutoHotkey en endpoints donde no sea imprescindible, idealmente con allowlisting. Deben monitorizarse tareas programadas y persistencia vía carpeta de inicio, y levantar alertas ante cambios no autorizados. En red, resulta clave inspeccionar túneles WebSocket anómalos y señales de SOCKS proxy desde estaciones de usuario.
En el plano de credenciales y movimiento lateral, es recomendable afinar detecciones de LSASS dumping y pass the hash, aplicar protecciones del sistema operativo cuando proceda, y vigilar el uso anómalo de WinRM, especialmente conexiones a TCP 5985 desde estaciones de usuario, limitándolo a estaciones de administración autorizadas. En servidores sensibles, especialmente controladores de dominio, hay que revisar cualquier uso no habitual de FTK Imager. También conviene bloquear o alertar sobre herramientas de exfiltración no autorizadas como LimeWire, y realizar hunts con IOCs y reglas YARA disponibles para el conjunto Snow, incluyendo búsquedas retrospectivas en telemetría.
Dado que el vector se apoya en comunicación directa, la configuración de Teams es un punto de control decisivo: limitar comunicaciones externas a dominios permitidos, o deshabilitar el chat con cuentas externas no gestionadas cuando sea viable, reduce la exposición a inquilinos desechables. A nivel de proceso, hay que imponer un flujo obligatorio de verificación fuera de banda para cualquier contacto de soporte, como llamada a un número interno publicado o validación por número de ticket, antes de ejecutar software o seguir enlaces. Y para cortar la ‘conversión’ a control interactivo, es eficaz restringir Quick Assist y otras herramientas de asistencia remota a roles autorizados con WDAC, AppLocker o políticas equivalentes, además de crear detecciones de correlación, chat externo en Teams seguido de ejecución de QuickAssist.exe, AnyDesk.exe o TeamViewer.exe en una ventana corta. Por último, reforzar Microsoft Defender for Office 365 para Teams, con Safe Links en el momento del clic y Zero hour Auto Purge, y formar específicamente a directivos y mandos intermedios con simulaciones centradas en este patrón, ayuda a reducir la efectividad de un ataque que explota urgencia, confianza y hábitos de trabajo.
Más información
- BleepingComputer – Threat actor uses Microsoft Teams to deploy new ‘Snow’ malware : https://www.bleepingcomputer.com/news/security/threat-actor-uses-microsoft-teams-to-deploy-new-snow-malware/
- Google Cloud Blog (Mandiant / Google Threat Intelligence Group) – Snow Flurries: How UNC6692 Employed Social Engineering to Deploy a Custom Malware Suite : https://cloud.google.com/blog/topics/threat-intelligence/unc6692-social-engineering-custom-malware
- ReliaQuest – Threat Spotlight: Are Former Black Basta Affiliates Automating Executive Targeting? : https://reliaquest.com/blog/threat-spotlight-are-former-black-basta-affiliates-automating-executive-targeting/
- Microsoft Security Blog – Cross-tenant helpdesk impersonation to data exfiltration: A human-operated intrusion playbook : https://www.microsoft.com/en-us/security/blog/2026/04/18/crosstenant-helpdesk-impersonation-data-exfiltration-human-operated-intrusion-playbook/
- Rapid7 – Guidance on Observed Microsoft Teams Phishing Campaigns : https://www.rapid7.com/blog/post/dr-guidance-on-observed-microsoft-teams-phishing-campaigns
- The Hacker News – UNC6692 Impersonates IT Help Desk via Microsoft Teams to Deploy SNOW Malware : https://thehackernews.com/2026/04/unc6692-impersonates-it-helpdesk-via.html
Deja una respuesta