O **UNC6692** tem sido observado iniciando ataques sobrecarregando alvos com e-mails de spam, criando um senso de urgência. Subsequentemente, eles abordam o alvo no **Microsoft Teams**, fingindo ser suporte de TI para oferecer assistência com o bombardeio de e-mails, de acordo com um relatório da **Mandiant** (propriedade do **Google**). Essa tática de combinar bombardeio de e-mail com personificação de help desk baseada no **Microsoft Teams** foi anteriormente associada a ex-afiliados do **Black Basta**. Apesar do encerramento do grupo de ransomware no ano passado, essa abordagem permanece prevalente. A **ReliaQuest** relatou que este método está sendo ativamente utilizado para atingir executivos e funcionários de alto nível, visando acesso inicial a redes corporativas para roubo de dados, movimento lateral, implantação de ransomware e extorsão. Alguns ataques iniciam chats em segundos uns dos outros. Os atacantes visam convencer as vítimas a instalar ferramentas legítimas de monitoramento e gerenciamento remoto (RMM), como Quick Assist ou Supremo Remote Desktop, para obter acesso direto e implantar payloads maliciosos adicionais. Os pesquisadores da ReliaQuest, John Dilgen e Alexa Feminella, observaram que de 1º de março a 1º de abril de 2026, 77% dos incidentes visaram funcionários de alto nível, um aumento em relação aos 59% nos dois meses anteriores. Isso destaca a eficácia duradoura de certas táticas. ### Cadeia de Ataque Única do UNC6692 A cadeia de ataque detalhada pela **Mandiant** difere ligeiramente. As vítimas são direcionadas a clicar em um link de phishing compartilhado via **Teams** para instalar um "patch local" para resolver o problema de spam. Isso leva ao download de um script AutoHotkey de um bucket AWS S3 controlado pelo atacante. A página de phishing é disfarçada como "Mailbox Repair and Sync Utility v2.1.5". O script realiza reconhecimento inicial e instala o **SNOWBELT**, uma extensão de navegador maliciosa baseada em Chromium, no navegador Edge em modo headless usando o switch de linha de comando `--load-extension`. Os pesquisadores da Mandiant, JP Glab, Tufail Ahmed, Josh Kelley e Muhammad Umair, explicaram que o atacante usa um script de gatekeeper para garantir a entrega do payload apenas a alvos pretendidos, evitando sandboxes de segurança automatizadas.  Se o usuário não estiver usando o **Microsoft Edge**, uma sobreposição de aviso persistente é exibida. O **SNOWBELT** então baixa arquivos adicionais, incluindo **SNOWGLAZE**, **SNOWBASIN**, scripts AutoHotkey e um arquivo ZIP contendo um executável portátil do Python e bibliotecas. A página de phishing também hospeda um Painel de Gerenciamento de Configuração com um botão "Verificação de Integridade". Clicar nele solicita que os usuários insiram as credenciais da caixa de correio, ostensivamente para autenticação, mas na verdade para coletar e exfiltrar dados para outro bucket Amazon S3. ### O Ecossistema de Malware SNOW A suíte de malware **SNOW** é um toolkit modular. O **SNOWBELT**, um backdoor baseado em JavaScript, recebe comandos e os repassa para o **SNOWBASIN** para execução. O **SNOWGLAZE**, um tunneler baseado em Python, cria um túnel WebSocket seguro e autenticado entre a rede interna da vítima e o servidor de comando e controle (C2) do atacante. O **SNOWBASIN** funciona como um backdoor persistente, permitindo a execução remota de comandos via "cmd.exe" ou "powershell.exe", captura de tela, upload/download de arquivos e auto-terminação. Ele opera como um servidor HTTP local nas portas 8000, 8001 ou 8002. ### Atividades Pós-Exploração Após obter acesso inicial, o **UNC6692** realiza ações como: * Escaneamento da rede local em busca das portas 135, 445 e 3389 para movimento lateral. * Estabelecimento de uma sessão PsExec via utilitário de tunelamento **SNOWGLAZE**. * Iniciação de uma sessão RDP via **SNOWGLAZE** do sistema da vítima para um servidor de backup. * Uso de uma conta de administrador local para extrair a memória do processo LSASS do sistema com o Gerenciador de Tarefas do Windows para escalonamento de privilégios. * Emprego da técnica Pass-The-Hash para mover-se lateralmente para controladores de domínio usando hashes de senha de usuário elevados. * Download e execução do **FTK Imager** para capturar dados sensíveis (por exemplo, arquivo de banco de dados do Active Directory) e exfiltrá-los usando LimeWire. A **Mandiant** enfatizou a evolução interessante da campanha em táticas, incluindo engenharia social, malware personalizado e extensões de navegador maliciosas, explorando a confiança do usuário em provedores de software corporativo. Eles também destacaram o abuso de serviços de nuvem legítimos para entrega de payloads, exfiltração e infraestrutura C2, permitindo que os atacantes contornem filtros tradicionais de reputação de rede. ### Campanhas Semelhantes A divulgação segue o relatório da **Cato Networks** sobre uma campanha de voice phishing usando personificação de help desk semelhante no **Microsoft Teams** para implantar um trojan baseado em WebSocket chamado **PhantomBackdoor** via um script PowerShell ofuscado.  A **Cato Networks** declarou que este incidente demonstra como a personificação de help desk via **Microsoft Teams** pode substituir o phishing tradicional, levando à execução escalonada de PowerShell e a um backdoor WebSocket. Eles recomendam tratar ferramentas de colaboração como superfícies de ataque de primeira classe, impor fluxos de trabalho de verificação de help desk, apertar os controles externos de **Teams** e compartilhamento de tela, e fortalecer o PowerShell. A **Microsoft** também alertou sobre atores de ameaças iniciando comunicações cross-tenant via **Microsoft Teams** para estabelecer controle interativo usando Quick Assist e outras ferramentas de suporte remoto para execução de código malicioso. Uma vez dentro, os atacantes realizam reconhecimento e implantam payloads para conexões criptografadas de saída para infraestrutura C2.