Google Mandiant ha documentado una nueva campaña del grupo de amenazas UNC6692 que representa una evolución significativa en la industrialización del cibercrimen empresarial. El grupo combina bombardeo masivo de correo electrónico con ingeniería social a través de Microsoft Teams para desplegar una suite de malware personalizada — conocida como ecosistema Snow — cuyo objetivo final es extraer la base de datos completa de Active Directory de las organizaciones víctimas y tomar el control del dominio corporativo. La campaña, activa desde diciembre de 2025, apuntó al 77% de sus incidentes entre marzo y abril de 2026 contra perfiles de liderazgo. Los sectores más afectados son manufactura y servicios profesionales, científicos y técnicos. Este post complementa nuestro análisis del 8 de mayo sobre MuddyWater — mismo vector, actor diferente, objetivo aún más ambicioso: el dominio entero.

¿Qué se sabe de la campaña UNC6692 y el ecosistema Snow?

Los hechos documentados por Google Mandiant, amplificados por The Hacker News, BleepingComputer, Security Boulevard, el blog de Microsoft Security y Hispasec, son los siguientes:

  • Actor: UNC6692, un clúster de actividad amenazante previamente indocumentado, identificado por Google Threat Intelligence Group (GTIG) / Mandiant. No se ha establecido atribución definitiva a ningún Estado, aunque los investigadores señalan posibles conexiones con ex-afiliados de Black Basta por las similitudes tácticas.
  • Inicio de la campaña: diciembre de 2025, con intensificación significativa en el primer trimestre de 2026.
  • Objetivo principal: robo de credenciales y toma de control total del dominio corporativo mediante la extracción del archivo NTDS.dit (base de datos de Active Directory) y las colmenas del registro SAM/SYSTEM/SECURITY.
  • Perfil de víctimas: entre el 1 de marzo y el 1 de abril de 2026, el 77% de los incidentes observados apuntaron a empleados senior, frente al 59% en los dos primeros meses del año. Directivos, CFOs, directores de IT y responsables con acceso privilegiado son el objetivo preferido.
  • Sectores afectados: manufactura, servicios profesionales, científicos y técnicos. También se han documentado víctimas en servicios financieros y sanidad.
  • Ecosistema Snow: suite de malware modular compuesta por tres herramientas — SNOWBELT, SNOWGLAZE y SNOWBASIN — diseñadas para trabajar en cadena desde el acceso inicial hasta la exfiltración de datos del dominio.

Por qué Microsoft Teams se ha convertido en vector de ataque prioritario contra el tejido empresarial

UNC6692 no es el primer grupo que abusa de Microsoft Teams como vector de entrada: ya documentamos el caso de MuddyWater el 8 de mayo. Lo que hace única la campaña de UNC6692 es la combinación de dos técnicas que se potencian mutuamente. Cuatro factores explican por qué Teams se ha convertido en el vector preferido del cibercrimen organizado en 2026:

  1. El email bombing crea el contexto perfecto para la estafa. Antes de contactar por Teams, UNC6692 inunda la bandeja de entrada de la víctima con miles de correos en minutos. El objetivo no es el contenido de esos correos, sino crear caos, urgencia y receptividad a cualquier oferta de ayuda. Cuando el “soporte de IT” aparece en Teams pocos minutos después, la víctima lo vive como un alivio, no como una amenaza.
  2. La confianza implícita en Teams no ha sido entrenada como riesgo. Los programas de concienciación llevan años enseñando a detectar el phishing por email. Teams — especialmente en empresas donde el soporte IT habitualmente usa esa plataforma — sigue siendo un canal de alta confianza sin el mismo nivel de escepticismo.
  3. La impersonación entre tenants es trivial. Un atacante externo puede crear un tenant de Microsoft 365 con el nombre y logo de “IT Support” de cualquier empresa y enviar mensajes como si fuera personal interno. La única señal de alerta es el indicador “Externo” en el perfil — que pocos usuarios comprueban activamente.
  4. El proceso de Teams elimina barreras técnicas en la fase inicial. Una sesión de Teams con un enlace a un “parche” no requiere explotar ninguna vulnerabilidad de software. El vector de ataque es el propio usuario, convencido de instalar voluntariamente el implante.

Cómo funciona el ataque: del email bombing al robo del Active Directory

La cadena de ataque documentada por Mandiant sigue estos pasos con precisión:

  1. Email bombing: UNC6692 envía miles de correos a la bandeja de entrada de la víctima en cuestión de minutos, saturando su entorno de trabajo y creando urgencia. La automatización del grupo es notable: en telemetría reciente se observan chats de Teams iniciados con diferencias de decenas de segundos entre múltiples objetivos simultáneos.
  2. Suplantación en Microsoft Teams: el atacante contacta por Teams desde una cuenta externa, haciéndose pasar por el servicio de soporte IT, y ofrece un enlace a un “parche” que supuestamente detené el bombardeo de correo. La página de phishing se llama “Mailbox Repair and Sync Utility v2.1.5”.
  3. Descarga e instalación de SNOWBELT: el enlace descarga un dropper que ejecuta scripts AutoHotkey y lanza una instancia de Microsoft Edge en modo headless (invisible para el usuario) con la extensión maliciosa SNOWBELT instalada, bajo nombres como “MS Heartbeat” o “System Heartbeat”. Se establece persistencia vía acceso directo en la carpeta de inicio de Windows y una tarea programada.
  4. Despliegue de SNOWGLAZE: SNOWBELT descarga los componentes adicionales del ecosistema Snow, incluyendo SNOWGLAZE, un tunneler basado en Python que crea un WebSocket cifrado hacia la infraestructura C2 del atacante (frecuentemente subdominios de Heroku), enmascarando el tráfico malicioso como comunicaciones HTTPS legítimas.
  5. Activación de SNOWBASIN: el backdoor Python SNOWBASIN establece un servidor HTTP local que acepta comandos del atacante y ejecuta PowerShell o cmd.exe. Permite captura de pantalla, transferencia de archivos y ejecución remota de comandos.
  6. Reconocimiento interno: el atacante usa un script Python para escanear la red interna en busca de puertos 135, 445 y 3389 (recursos compartidos, SMB y RDP), mapeando los activos del entorno.
  7. Movimiento lateral hacia el controlador de dominio: mediante la utilidad SNOWGLAZE, el atacante establece una sesión PsExec hacia el servidor de respaldo y abre una sesión RDP. Usa la cuenta de administrador local para volcar la memoria del proceso LSASS con el Administrador de tareas de Windows, obteniendo hashes de contraseñas. Con la técnica Pass-The-Hash, se mueve lateralmente hasta los controladores de dominio.
  8. Extracción del Active Directory: con FTK Imager, el atacante monta unidades locales y extrae el archivo NTDS.dit (la base de datos completa de Active Directory con todos los usuarios, grupos, políticas y hashes de contraseñas del dominio) junto con las colmenas del registro SAM, SYSTEM y SECURITY.
  9. Exfiltración: los datos se envían al exterior usando LimeWire como herramienta de transferencia, mezclando el tráfico malicioso con actividad de red aparentemente legítima.

El resultado: el atacante sale con las credenciales de todos los usuarios del dominio, incluyendo administradores y cuentas de servicio. Con esos datos puede acceder a cualquier sistema del entorno semanas o meses después, incluso si el incidente inicial es detectado y “contenido”.

Lecciones clave, IoCs y checklist para equipos AD, SOC y directivos

Indicadores de compromiso (IoCs) a monitorizar ahora mismo:

  • Solicitudes de chat entrantes en Microsoft Teams desde cuentas externas no verificadas que afirman ser soporte IT, especialmente tras un evento de bombardeo de correo.
  • Instalación de extensiones de Chrome o Edge con nombres como “MS Heartbeat”, “System Heartbeat” u otros nombres que imitan herramientas corporativas.
  • Ejecución de instancias de Microsoft Edge o Chrome en modo headless (--headless, --load-extension) desde procesos inesperados.
  • Actividad de AutoHotkey (ahk.exe o autohotkey.exe) fuera de contextos de automatización conocidos.
  • Conexiones WebSocket salientes hacia subdominios de Heroku (.herokuapp.com) no aprobados.
  • Acceso al proceso lsass.exe por procesos no autorizados, especialmente desde taskmgr.exe fuera de mantenimiento planificado.
  • Ejecución de FTK Imager (FTKImager.exe) o ftkimager.exe fuera de contextos forenses autorizados.
  • Creación o acceso al archivo NTDS.dit o a las colmenas SAM/SYSTEM/SECURITY en controladores de dominio.
  • Uso de la herramienta LimeWire o tráfico de red hacia dominios de compartición de archivos no aprobados.
  • Tareas programadas creadas recientemente que no corresponden a ninguna política conocida del entorno.

Checklist de acción para equipos AD, SOC y CISOs:

  • Configurar Teams para restringir chats externos: en el Centro de Administración de Microsoft Teams, limitar o bloquear las solicitudes de chat entrantes desde cuentas externas a organizaciones no verificadas. El soporte IT legítimo interno nunca inicia contacto desde una cuenta de tenant externo.
  • Comunicar a todos los empleados el patrón email bombing + Teams: el ataque depende del elemento sorpresa. Un empleado que entiende que el bombardeo de correo es el preludio de una suplantación en Teams no caerá en el segundo paso.
  • Implementar alertas sobre acceso a LSASS: configurar el EDR para generar alertas cuando cualquier proceso no autorizado accede a lsass.exe, especialmente desde taskmgr.exe fuera de ventanas de mantenimiento planificadas.
  • Monitorizar la creación y acceso a NTDS.dit: cualquier acceso al archivo NTDS.dit en un controlador de dominio fuera de procesos de backup aprobados debe generar una alerta crítica inmediata.
  • Alertar sobre herramientas forenses no planificadas: la ejecución de FTK Imager, Volatility u otras herramientas de adquisición forense fuera del SOC debe generar alerta de prioridad alta.
  • Revisar extensiones instaladas en navegadores corporativos: auditar las extensiones activas en Chrome y Edge en los endpoints, especialmente en equipos de directivos. Cualquier extensión no distribuida por política de grupo (GPO) debe investigarse.
  • Activar Protected Users Security Group en Active Directory: los miembros de este grupo no pueden usar NTLM ni Kerberos delegation, lo que dificulta el Pass-The-Hash. Aplicar a todas las cuentas privilegiadas y de administración de dominio.
  • Revisar y endurecer el Credential Guard: habilitar Windows Defender Credential Guard en todos los endpoints para proteger los secretos LSASS de accesos directos a memoria.

La ciberseguridad como prioridad estratégica

La campaña de UNC6692 con el ecosistema Snow confirma una realidad que ya no admite matices: las plataformas de colaboración corporativa — Microsoft Teams, Slack, Google Workspace — se han convertido en superficies de ataque de primer orden. El correo electrónico ya no es el único vector que los equipos de seguridad deben vigilar. Y las consecuencias de ignorar este vector son máximas: la extracción de un NTDS.dit equivale a tener las llaves de todo el dominio corporativo, presentes y futuras.

Para las organizaciones españolas, el mensaje es directo: la combinación de email bombing + Teams está siendo automatizada a escala. El tiempo entre el primer contacto de Teams y el compromiso completo del dominio se mide en horas, no en días. Las defensas que no contemplen explícitamente las plataformas de colaboración como vectores de ataque — con controles de acceso externo, monitorización de extensiones y alertas sobre AD — tienen un gap crítico abierto ahora mismo.

Apolo Cybersecurity: protección del Active Directory y detección de ataques vía plataformas de colaboración

En Apolo Cybersecurity ayudamos a organizaciones a proteger su Active Directory frente a técnicas de robo de dominio como las empleadas por UNC6692. Trabajamos en auditoría y hardening de Active Directory, detección de movimientos laterales y técnicas Pass-The-Hash, configuración de controles de acceso externo en Microsoft Teams y plataformas colaborativas, implementación de Credential Guard y Protected Users, monitorización continua de endpoints para detección de herramientas forenses y volcado de LSASS, y simulacros de ataque que incluyen los vectores de ingeniería social documentados en esta campaña.

Si tu organización usa Microsoft Teams y no tiene controles específicos contra solicitudes de chat externas ni alertas sobre el Active Directory, el patrón de UNC6692 está activo en este momento. Y si alguno de tus directivos ha recibido un bombardeo masivo de correo en los últimos días, ese puede haber sido el primer paso del ataque.

Prev Post
Next Post

¿Tienes dudas? ¡Estamos encantados de ayudarte!

¡CONTÁCTANOS HOY!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalidad: Responder a tu mensaje y almacenaje en base de datos para gestionar tu solicitud.
Legitimación: Consentimiento del interesado al enviar el formulario.
Destinatarios: No se cederán datos a terceros, salvo obligación legal.
Derechos: Puedes ejercer tus derechos de acceso, rectificación y supresión, entre otros, enviando un correo a secretaria@apolocybersecurity.Com.
Información adicional: Puedes consultar la información completa en nuestra Política de Privacidad.

¡Gracias !

Su mensaje a sido recibido correctamente.
Oops! Algo a ido mal a la jora de enviar el formulario.
te esperamos!
agenda una llamada
Project photo
Envíanos un mail
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
FAQScontactoTÉRMINOS Y CONDICIONESTrabaja con Nosotros
Acelerados por:
Certificaciones:
Light Eyes forma parte de Apolo Cybersecurity
Aviso legalpolítica de privacidadCookiespolítica seguridad de la información
Privacy Settings
Copyright © 2025 Apolo Cybersecurity