Google Mandiant ha documentat una nova campanya del grup d'amenaça UNC6692 que representa una evolució significativa en la industrialització del cibercrim empresarial. El grup combina bombardeig massiú de correu electrònic amb enginyeria social a través de Microsoft Teams per desplegar una suite de malware personalitzada — coneguda com a ecosistema Snow — l'objectiu final de la qual és extreure la base de dades completa de Active Directory de les organitzacions víctimes i prendre el control total del domini corporatiu. La campanya, activa des del desembre de 2025, va apuntar el 77% dels seus incidents entre març i abril de 2026 contra perfils de lideratge. Els sectors més afectats són manufactura i serveis professionals, científics i tècnics. Aquest post complementa la nostra anàlisi del 8 de maig sobre MuddyWater — mateix vector, actor diferent, objectiu encara més ambiciós: el domini sencer.

Què se sap de la campanya UNC6692 i l’ecosistema Snow?

  • Actor: UNC6692, un clúster d'activitat d'amenaça prèviament indocumentat, identificat pel Google Threat Intelligence Group (GTIG) / Mandiant. No s'ha establert atribució definitiva a cap Estat, tot i que els investigadors assenyalen possibles connexions amb ex-afiliats de Black Basta per les similituds tàctiques.
  • Inici de la campanya: desembre de 2025, amb intensificació significativa durant el primer trimestre de 2026.
  • Objectiu principal: robatori de credencials i presa de control total del domini corporatiu mitjançant l'extracció del fitxer NTDS.dit i les ruscs del registre SAM/SYSTEM/SECURITY.
  • Perfil de víctimes: entre l'1 de març i l'1 d'abril de 2026, el 77% dels incidents observats van apuntar a empleats siors, enfront del 59% en els dos primers mesos de l'any. Directius, CFOs, directors de TI i responsables amb accés privilegiat són l'objectiu preferit.
  • Sectors afectats: manufactura, serveis professionals, científics i tècnics. També s'han documentat víctimes en serveis financers i sanitat.
  • Ecosistema Snow: suite de malware modular composta per tres eines — SNOWBELT, SNOWGLAZE i SNOWBASIN — dissenyades per treballar en cadena des de l'accés inicial fins a l'exfiltració de dades del domini.

Per què Microsoft Teams s'ha convertit en vector d'atac prioritari contra el teixit empresarial

  1. El bombardeig de correu crea el context perfecte per a l'estafa. Abans de contactar per Teams, UNC6692 omple la bústia d'entrada de la víctima amb milers de correus en minuts. L'objectiu no és el contingut d'aquells correus, sinó crear caos, urgència i receptivitat a qualsevol oferta d'ajuda. Quan el “suport de TI” apareix a Teams pocs minuts després, la víctima ho viu com un alleujament, no com una amenaça.
  2. La confiança implícita en Teams no ha estat entrenada com a risc. Els programes de conscienciació porten anys ensenyant a detectar el phishing per correu. Teams — especialment en empreses on el suport TI habitualment fa servir aquesta plataforma — continua sent un canal d'alta confiança sense el mateix nivell d'escepticisme.
  3. La suplantació entre tenants és trivial. Un atacant extern pot crear un tenant de Microsoft 365 amb el nom i el logo del “Suport de TI” de qualsevol empresa i enviar missatges com si fos personal intern. L'única senyal d'alerta és l'indicador “Extern” al perfil — que pocs usuaris comproven activament.
  4. El procés de Teams elimina barreres tècniques en la fase inicial. Una sessió de Teams amb un enllaç a un “pedaç” no requereix explotar cap vulnerabilitat de programari. El vector d'atac és el propi usuari, convènçut d'instal·lar voluntaràriament l'implant.

Com funciona l’atac: del bombardeig de correu al robatori de l’Active Directory

  1. Bombardeig de correu: UNC6692 envia milers de correus a la bústia d'entrada de la víctima en qüestió de minuts, saturant el seu entorn de treball i creant urgència. L'automatització del grup és notable: en telemetria recent s'observen xats de Teams iniciats amb diferències de desenes de segons entre múltiples objectius simultànis.
  2. Suplantació a Microsoft Teams: l'atacant contacta per Teams des d'un compte extern, fent-se passar pel servei de suport TI, i ofereix un enllaç a un “pedaç” que suposadament atura el bombardeig de correu. La pàgina de phishing s'anomena “Mailbox Repair and Sync Utility v2.1.5”.
  3. Descàrrega i instal·lació de SNOWBELT: l'enllaç descarrega un dropper que executa scripts AutoHotkey i llança una instància de Microsoft Edge en mode headless (invisible per a l'usuari) amb l'extensió maliciosa SNOWBELT instal·lada, sota noms com “MS Heartbeat” o “System Heartbeat”. S'estableix persistència via accés directe a la carpeta d'inici de Windows i una tasca programada.
  4. Desplegament de SNOWGLAZE: SNOWBELT descarrega els components addicionals de l'ecosistema Snow, incloent-hi SNOWGLAZE, un tunneler basat en Python que crea un WebSocket xifrat cap a la infraestructura C2 de l'atacant (freqüentment subdominis de Heroku), emmascarant el trànsit maliciós com a comunicacions HTTPS legítimes.
  5. Activació de SNOWBASIN: el backdoor Python SNOWBASIN estableix un servidor HTTP local que accepta ordres de l'atacant i executa PowerShell o cmd.exe. Permet captura de pantalla, transferència de fitxers i execució remota d'ordres.
  6. Reconeixement intern: l'atacant utilitza un script Python per escanejar la xarxa interna en cerca dels ports 135, 445 i 3389 (recursos compartits, SMB i RDP), mapejant els actius de l'entorn.
  7. Moviment lateral cap al controlador de domini: mitjançant la utilitat SNOWGLAZE, l'atacant estableix una sessió PsExec cap al servidor de còpia de seguretat i obre una sessió RDP. Utilitza el compte d'administrador local per bolcar la memòria del procés LSASS amb el Gestor de tasques de Windows, obtenint hashes de contrasenyes. Amb la tècnica Pass-The-Hash, es mou lateralment fins als controladors de domini.
  8. Extracció de l'Active Directory: amb FTK Imager, l'atacant munta unitats locals i extreu el fitxer NTDS.dit (la base de dades completa de l'Active Directory amb tots els usuaris, grups, polítiques i hashes de contrasenyes del domini) juntament amb les ruscs del registre SAM, SYSTEM i SECURITY.
  9. Exfiltració: les dades s'envien a l'exterior utilitzant LimeWire com a eina de transferència, barrejant el trànsit maliciós amb activitat de xarxa aparentment legítima.

El resultat: l'atacant marxa amb les credencials de tots els usuaris del domini, incloent-hi administradors i comptes de servei. Amb aquestes dades pot accedir a qualsevol sistema de l'entorn setmanes o mesos després, fins i tot si l'incident inicial és detectat i “contingut”.

Llicçons clau, IoCs i checklist per a equips AD, SOC i CISOs

Indicadors de comproms (IoCs) a monitoritzar ara mateix:

  • Sol·licituds de xat entrants a Microsoft Teams des de comptes externs no verificats que afirmen ser suport TI, especialment després d'un esdeveniment de bombardeig de correu.
  • Instal·lació d'extensions de Chrome o Edge amb noms com “MS Heartbeat”, “System Heartbeat” o altres noms que imiten eines corporatives.
  • Execució d'instàncies de Microsoft Edge o Chrome en mode headless (--headless, --load-extension) des de processos inesperats.
  • Activitat d'AutoHotkey (ahk.exe o autohotkey.exe) fora de contextos d'automatització coneguts.
  • Connexions WebSocket sortints cap a subdominis de Heroku (.herokuapp.com) no aprovats.
  • Accés al procés lsass.exe per processos no autoritzats, especialment des de taskmgr.exe fora del manteniment planificat.
  • Execució de FTK Imager (FTKImager.exe o ftkimager.exe) fora de contextos forenses autoritzats.
  • Creació o accés al fitxer NTDS.dit o a les ruscs SAM/SYSTEM/SECURITY als controladors de domini.
  • Úús de LimeWire o trànsit de xarxa cap a dominis de compartició de fitxers no aprovats.
  • Tasques programades creades recentment que no corresponen a cap política coneguda de l'entorn.

Checklist d'acció per a equips AD, SOC i CISOs:

  • Configurar Teams per restringir xats externs: al Centre d'Administració de Microsoft Teams, limitar o bloquejar les sol·licituds de xat entrants des de comptes externs a organitzacions no verificades. El suport TI legítim intern mai inicia contacte des d'un compte de tenant extern.
  • Comunicar a tots els empleats el patró bombardeig de correu + Teams: l'atac depèn de l'element sorpresa. Un empleat que entén que el bombardeig de correu és el preludi d'una suplantació a Teams no caurà en el segon pas.
  • Implementar alertes sobre accés a LSASS: configurar l'EDR per generar alertes quan qualsevol procés no autoritzat accedeixi a lsass.exe, especialment des de taskmgr.exe fora de finestres de manteniment planificades.
  • Monitoritzar la creació i accés a NTDS.dit: qualsevol accés al fitxer NTDS.dit en un controlador de domini fora de processos de còpia de seguretat aprovats ha de generar una alerta crítica immediata.
  • Alertar sobre eines forenses no planificades: l'execució de FTK Imager, Volatility o altres eines d'adquisició forense fora del SOC ha de generar una alerta de prioritat alta.
  • Revisar extensions instal·lades als navegadors corporatius: auditar les extensions actives a Chrome i Edge als endpoints, especialment als equips de directius. Qualsevol extensió no distribuïda per política de grup (GPO) s'ha d'investigar.
  • Activar el Protected Users Security Group a l'Active Directory: els membres d'aquest grup no poden utilitzar NTLM ni la delegació de Kerberos, la qual cosa dificulta el Pass-The-Hash. Aplicar a tots els comptes privilegiats i d'administració de domini.
  • Revisar i endurir el Credential Guard: habilitar Windows Defender Credential Guard a tots els endpoints per protegir els secrets de LSASS d'accessos directes a memòria.

La ciberseguretat com a prioritat estratègica

La campanya d'UNC6692 amb l'ecosistema Snow confirma una realitat que ja no admet matisos: les plataformes de col·laboració corporativa — Microsoft Teams, Slack, Google Workspace — s'han convertit en superfícies d'atac de primer ordre. El correu electrònic ja no és l'única via que els equips de seguretat han de vigilar. I les conseqüències d'ignorar aquest vector són màximes: l'extracció d'un NTDS.dit equival a tenir les claus de tot el domini corporatiu, presents i futures.

Per a les organitzacions espanyoles, el missatge és directe: la combinació de bombardeig de correu + Teams està sent automatitzada a escala. El temps entre el primer contacte de Teams i el comproms complet del domini es mesura en hores, no en dies. Les defenses que no contemplin explícitament les plataformes de col·laboració com a vectors d'atac — amb controls d'accés extern, monitoratge d'extensions i alertes sobre AD — tenen un buit crític obert ara mateix.

Apolo Cybersecurity: protecció de l’Active Directory i detecció d’atacs via plataformes de col·laboració

A Apolo Cybersecurity ajudem organitzacions a protegir el seu Active Directory davant de tècniques de robatori de domini com les emprades per UNC6692. Treballem en auditoria i hardening de l'Active Directory, detecció de moviments laterals i tècniques Pass-The-Hash, configuració de controls d'accés extern a Microsoft Teams i plataformes col·laboratives, implementació de Credential Guard i Protected Users, monitoratge continu d'endpoints per a la detecció d'eines forenses i bolcat de LSASS, i simulacres d'atac que inclouen els vectors d'enginyeria social documentats en aquesta campanya.

Si la teva organització fa servir Microsoft Teams i no té controls específics contra sol·licituds de xat externes ni alertes sobre l'Active Directory, el patró d'UNC6692 està actiu en aquest moment. I si algun dels teus directius ha rebut un bombardeig massiú de correu en els últims dies, aquest pot haver estat el primer pas de l'atac.

Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity