Se ha observado que **UNC6692** inicia ataques abrumando a los objetivos con correos electrónicos de spam, creando una sensación de urgencia. Posteriormente, se acercan al objetivo en **Microsoft Teams**, haciéndose pasar por soporte de TI para ofrecer ayuda con el bombardeo de correos electrónicos, según un informe de **Mandiant** (propiedad de **Google**). Esta táctica de combinar el bombardeo de correos electrónicos con la suplantación de mesa de ayuda basada en **Microsoft Teams** se ha asociado previamente con ex afiliados de **Black Basta**. A pesar del cierre del grupo de ransomware el año pasado, este enfoque sigue siendo prevalente. **ReliaQuest** informó que este método se utiliza activamente para atacar a ejecutivos y empleados de alto nivel, con el objetivo de obtener acceso inicial a redes corporativas para robo de datos, movimiento lateral, despliegue de ransomware y extorsión. Algunos ataques inician chats a los pocos segundos de diferencia. Los atacantes buscan convencer a las víctimas de instalar herramientas legítimas de monitoreo y administración remota (RMM), como Quick Assist o Supremo Remote Desktop, para obtener acceso directo y desplegar cargas maliciosas adicionales. Los investigadores de ReliaQuest, John Dilgen y Alexa Feminella, señalaron que del 1 de marzo al 1 de abril de 2026, el 77% de los incidentes se dirigieron a empleados de alto nivel, un aumento respecto al 59% en los dos meses anteriores. Esto resalta la efectividad duradera de ciertas tácticas. ### Cadena de Ataque Única de UNC6692 La cadena de ataque detallada por **Mandiant** difiere ligeramente. Se dirige a las víctimas para que hagan clic en un enlace de phishing compartido a través de **Teams** para instalar un "parche local" que resuelva el problema del spam. Esto lleva a la descarga de un script AutoHotkey desde un bucket AWS S3 controlado por el atacante. La página de phishing está disfrazada como "Utilidad de Reparación y Sincronización de Buzones v2.1.5". El script realiza reconocimiento inicial e instala **SNOWBELT**, una extensión de navegador maliciosa basada en Chromium, en el navegador Edge en modo headless utilizando el modificador de línea de comandos `--load-extension`. Los investigadores de Mandiant, JP Glab, Tufail Ahmed, Josh Kelley y Muhammad Umair, explicaron que el atacante utiliza un script "gatekeeper" para garantizar que la entrega de la carga útil solo se realice a los objetivos previstos, evadiendo así las sandboxes de seguridad automatizadas.  Si el usuario no está utilizando **Microsoft Edge**, se muestra una superposición de advertencia persistente. **SNOWBELT** luego descarga archivos adicionales, incluyendo **SNOWGLAZE**, **SNOWBASIN**, scripts AutoHotkey y un archivo ZIP que contiene un ejecutable portátil de Python y bibliotecas. La página de phishing también aloja un Panel de Administración de Configuración con un botón de "Verificación de Salud". Al hacer clic en él, se solicita a los usuarios que ingresen las credenciales del buzón, supuestamente para autenticación, pero en realidad para recolectar y exfiltrar datos a otro bucket de Amazon S3. ### El Ecosistema de Malware SNOW La suite de malware **SNOW** es un kit de herramientas modular. **SNOWBELT**, un backdoor basado en JavaScript, recibe comandos y los retransmite a **SNOWBASIN** para su ejecución. **SNOWGLAZE**, un túnel basado en Python, crea un túnel WebSocket seguro y autenticado entre la red interna de la víctima y el servidor de comando y control (C2) del atacante. **SNOWBASIN** funciona como un backdoor persistente, permitiendo la ejecución remota de comandos a través de "cmd.exe" o "powershell.exe", captura de capturas de pantalla, carga/descarga de archivos y auto-terminación. Opera como un servidor HTTP local en los puertos 8000, 8001 o 8002. ### Actividades Post-Explotación Después de obtener acceso inicial, **UNC6692** realiza acciones como: * Escanear la red local en busca de los puertos 135, 445 y 3389 para movimiento lateral. * Establecer una sesión PsExec a través de la utilidad de túnel **SNOWGLAZE**. * Iniciar una sesión RDP a través de **SNOWGLAZE** desde el sistema de la víctima a un servidor de respaldo. * Utilizar una cuenta de administrador local para extraer la memoria del proceso LSASS del sistema con el Administrador de Tareas de Windows para escalada de privilegios. * Emplear la técnica Pass-The-Hash para moverse lateralmente a los controladores de dominio utilizando hashes de contraseñas de usuarios elevados. * Descargar y ejecutar **FTK Imager** para capturar datos sensibles (por ejemplo, el archivo de base de datos de Active Directory) y exfiltrarlos utilizando LimeWire. **Mandiant** enfatizó la interesante evolución de tácticas de la campaña, incluyendo ingeniería social, malware personalizado y extensiones de navegador maliciosas, explotando la confianza de los usuarios en los proveedores de software empresarial. También destacaron el abuso de servicios legítimos en la nube para la entrega de cargas útiles, exfiltración e infraestructura C2, lo que permite a los atacantes eludir los filtros de reputación de red tradicionales. ### Campañas Similares La divulgación sigue al informe de **Cato Networks** sobre una campaña de phishing por voz que utiliza una suplantación de mesa de ayuda similar en **Microsoft Teams** para desplegar un troyano basado en WebSocket llamado **PhantomBackdoor** a través de un script de PowerShell ofuscado.  **Cato Networks** declaró que este incidente demuestra cómo la suplantación de mesa de ayuda a través de **Microsoft Teams** puede reemplazar al phishing tradicional, lo que lleva a la ejecución escalonada de PowerShell y a un backdoor WebSocket. Recomiendan tratar las herramientas de colaboración como superficies de ataque de primera clase, aplicar flujos de trabajo de verificación de mesa de ayuda, endurecer los controles externos de **Teams** y de uso compartido de pantalla, y fortalecer PowerShell. **Microsoft** también ha advertido sobre actores de amenazas que inician comunicaciones entre inquilinos a través de **Microsoft Teams** para establecer control interactivo utilizando Quick Assist y otras herramientas de soporte remoto para la ejecución de código malicioso. Una vez dentro, los atacantes realizan reconocimiento y despliegan cargas útiles para conexiones cifradas salientes a la infraestructura C2.