Un grupo de hackers (UNC6692) logró llevar a cabo una campaña de ciberataques dirigidos utilizando Microsoft Teams como vector de intrusión.
Según investigadores de ciberseguridad, los atacantes emplearon ingeniería social avanzada para ganarse la confianza de las víctimas y distribuir Snow malware.
Este software malicioso permitió obtener acceso no autorizado a sistemas corporativos, facilitando el robo de información sensible y el control remoto de dispositivos comprometidos.
Durante la operación, los atacantes suplantaron personal de soporte técnico, evidenciando nuevamente el uso de ingeniería social para instalar malware.
El caso refleja la vulnerabilidad de plataformas colaborativas como Microsoft Teams y el incremento de ataques híbridos que combinan manipulación humana + malware sofisticado.
A continuación, compartimos IoC (Indicators of Compromise) para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
El ataque del grupo UNC6692 se desarrolló en varias fases técnicas.
Primero realizaron email bombing para saturar bandejas de entrada y generar confusión en las víctimas.
Luego contactaron a los usuarios a través de Microsoft Teams, suplantando personal de soporte técnico y utilizando cuentas externas para parecer legítimos.
Posteriormente, dirigían a las víctimas a páginas de phishing donde robaban credenciales de acceso.
Con esta información, ejecutaban un loader malicioso (basado en scripts como AutoHotkey) que descargaba e instalaba el Snow malware.
Este malware operaba como un framework modular, con capacidades de:
- Persistencia
- Acceso remoto
- Comunicación con servidores de comando y control (C2)
Esto permitía a los atacantes movimiento lateral en la red y la extracción de información sensible.
