**UNC6692** a été observé lançant des attaques en submergeant les cibles avec des e-mails de spam, créant un sentiment d'urgence. Par la suite, ils contactent la cible sur **Microsoft Teams**, se faisant passer pour le support informatique pour offrir de l'aide concernant le déluge d'e-mails, selon un rapport de **Mandiant** (propriété de **Google**). Cette tactique combinant le bombardement d'e-mails avec l'usurpation d'identité du support technique via **Microsoft Teams** a été précédemment associée à d'anciens affiliés de **Black Basta**. Malgré la fermeture du groupe de ransomware l'année dernière, cette approche reste prévalente. **ReliaQuest** a rapporté que cette méthode est activement utilisée pour cibler des cadres et des employés de haut niveau, dans le but d'obtenir un accès initial aux réseaux d'entreprise pour le vol de données, le mouvement latéral, le déploiement de ransomware et l'extorsion. Certaines attaques initient des conversations à quelques secondes d'intervalle. Les attaquants visent à convaincre les victimes d'installer des outils légitimes de surveillance et de gestion à distance (RMM), tels que Quick Assist ou Supremo Remote Desktop, pour obtenir un accès direct et déployer d'autres charges utiles malveillantes. Les chercheurs de ReliaQuest, John Dilgen et Alexa Feminella, ont noté qu'entre le 1er mars et le 1er avril 2026, 77 % des incidents ont ciblé des employés de haut niveau, soit une augmentation par rapport aux 59 % des deux mois précédents. Cela souligne l'efficacité durable de certaines tactiques. ### Chaîne d'attaque unique d'UNC6692 La chaîne d'attaque détaillée par **Mandiant** diffère légèrement. Les victimes sont dirigées vers un lien de phishing partagé via **Teams** pour installer un "patch local" afin de résoudre le problème de spam. Cela conduit au téléchargement d'un script AutoHotkey depuis un bucket AWS S3 contrôlé par l'attaquant. La page de phishing est déguisée en "Mailbox Repair and Sync Utility v2.1.5". Le script effectue une reconnaissance initiale et installe **SNOWBELT**, une extension de navigateur malveillante basée sur Chromium, sur le navigateur Edge en mode headless à l'aide du commutateur de ligne de commande `--load-extension`. Les chercheurs de Mandiant JP Glab, Tufail Ahmed, Josh Kelley et Muhammad Umair ont expliqué que l'attaquant utilise un script de gardien pour s'assurer que la livraison de la charge utile n'atteint que les cibles prévues, évitant ainsi les bacs à sable de sécurité automatisés.  Si l'utilisateur n'utilise pas **Microsoft Edge**, une superposition d'avertissement persistante est affichée. **SNOWBELT** télécharge ensuite des fichiers supplémentaires, notamment **SNOWGLAZE**, **SNOWBASIN**, des scripts AutoHotkey et une archive ZIP contenant un exécutable Python portable et des bibliothèques. La page de phishing héberge également un panneau de gestion de la configuration avec un bouton "Health Check". Cliquer dessus invite les utilisateurs à saisir leurs identifiants de boîte aux lettres, ostensiblement pour l'authentification, mais en réalité pour collecter et exfiltrer des données vers un autre bucket Amazon S3. ### L'écosystème de malwares SNOW La suite de malwares **SNOW** est une boîte à outils modulaire. **SNOWBELT**, une porte dérobée basée sur JavaScript, reçoit des commandes et les relaie à **SNOWBASIN** pour exécution. **SNOWGLAZE**, un tunneliseur basé sur Python, crée un tunnel WebSocket sécurisé et authentifié entre le réseau interne de la victime et le serveur de commande et de contrôle (C2) de l'attaquant. **SNOWBASIN** fonctionne comme une porte dérobée persistante, permettant l'exécution de commandes à distance via "cmd.exe" ou "powershell.exe", la capture d'écran, le téléchargement/téléversement de fichiers et l'auto-terminaison. Il fonctionne comme un serveur HTTP local sur les ports 8000, 8001 ou 8002. ### Activités post-exploitation Après avoir obtenu un accès initial, **UNC6692** effectue des actions telles que : * Balayage du réseau local pour les ports 135, 445 et 3389 pour le mouvement latéral. * Établissement d'une session PsExec via l'utilitaire de tunneling **SNOWGLAZE**. * Initiation d'une session RDP via **SNOWGLAZE** depuis le système de la victime vers un serveur de sauvegarde. * Utilisation d'un compte administrateur local pour extraire la mémoire du processus LSASS du système avec le Gestionnaire des tâches Windows pour l'escalade de privilèges. * Utilisation de la technique Pass-The-Hash pour se déplacer latéralement vers les contrôleurs de domaine en utilisant les hachages de mot de passe des utilisateurs privilégiés. * Téléchargement et exécution de **FTK Imager** pour capturer des données sensibles (par exemple, le fichier de base de données Active Directory) et leur exfiltration à l'aide de LimeWire. **Mandiant** a souligné l'évolution intéressante de la campagne en termes de tactiques, y compris l'ingénierie sociale, les malwares personnalisés et les extensions de navigateur malveillantes, exploitant la confiance des utilisateurs dans les fournisseurs de logiciels d'entreprise. Ils ont également mis en évidence l'abus de services cloud légitimes pour la livraison de charges utiles, l'exfiltration et l'infrastructure C2, permettant aux attaquants de contourner les filtres de réputation réseau traditionnels. ### Campagnes similaires La divulgation fait suite au rapport de **Cato Networks** sur une campagne de phishing vocal utilisant une usurpation d'identité similaire du support technique sur **Microsoft Teams** pour déployer un cheval de Troie basé sur WebSocket appelé **PhantomBackdoor** via un script PowerShell obfusqué.  **Cato Networks** a déclaré que cet incident démontre comment l'usurpation d'identité du support technique via **Microsoft Teams** peut remplacer le phishing traditionnel, conduisant à une exécution PowerShell staged et à une porte dérobée WebSocket. Ils recommandent de traiter les outils de collaboration comme des surfaces d'attaque de premier ordre, d'appliquer des flux de travail de vérification du support technique, de renforcer les contrôles externes de **Teams** et de partage d'écran, et de durcir PowerShell. **Microsoft** a également mis en garde contre les acteurs de menace initiant des communications inter-locataires via **Microsoft Teams** pour établir un contrôle interactif à l'aide de Quick Assist et d'autres outils de support à distance pour l'exécution de code malveillant. Une fois à l'intérieur, les attaquants effectuent des reconnaissances et déploient des charges utiles pour des connexions chiffrées sortantes vers l'infrastructure C2.