{"id":655,"date":"2026-04-23T19:35:20","date_gmt":"2026-04-23T19:35:20","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/23\/unc6692-se-hace-pasar-por-el-servicio-de-asistencia-tecnica-de-ti-a-traves-de-microsoft-teams-para-implementar-malware-snow-cyberdefensa-mx\/"},"modified":"2026-04-23T19:35:20","modified_gmt":"2026-04-23T19:35:20","slug":"unc6692-se-hace-pasar-por-el-servicio-de-asistencia-tecnica-de-ti-a-traves-de-microsoft-teams-para-implementar-malware-snow-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/23\/unc6692-se-hace-pasar-por-el-servicio-de-asistencia-tecnica-de-ti-a-traves-de-microsoft-teams-para-implementar-malware-snow-cyberdefensa-mx\/","title":{"rendered":"UNC6692 se hace pasar por el servicio de asistencia t\u00e9cnica de TI a trav\u00e9s de Microsoft Teams para implementar malware SNOW \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Un grupo de actividad de amenazas previamente no documentado conocido como UNC6692<\/strong> Se ha observado que se aprovechan t\u00e1cticas de ingenier\u00eda social a trav\u00e9s de Microsoft Teams para implementar un paquete de malware personalizado en hosts comprometidos.<\/p>\n

\u00abAl igual que con muchas otras intrusiones en los \u00faltimos a\u00f1os, UNC6692 se bas\u00f3 en gran medida en hacerse pasar por empleados del servicio de asistencia t\u00e9cnica de TI, convenciendo a su v\u00edctima de aceptar una invitaci\u00f3n de chat de Microsoft Teams desde una cuenta fuera de su organizaci\u00f3n\u00bb, dijo Mandiant, propiedad de Google. dicho<\/a> en un informe publicado hoy.<\/p>\n

UNC6692 se ha atribuido a una gran campa\u00f1a de correo electr\u00f3nico dise\u00f1ada para abrumar la bandeja de entrada de un objetivo con una avalancha de correos electr\u00f3nicos no deseados, creando una falsa sensaci\u00f3n de urgencia. Luego, el actor de la amenaza se acerca al objetivo a trav\u00e9s de Microsoft Teams enviando un mensaje que dice ser del equipo de soporte de TI para ofrecer ayuda con el problema del bombardeo de correo electr\u00f3nico.<\/p>\n

Vale la pena se\u00f1alar que esta combinaci\u00f3n de bombardear la bandeja de entrada de correo electr\u00f3nico de una v\u00edctima seguido de la suplantaci\u00f3n de la mesa de ayuda basada en Microsoft Teams ha sido una t\u00e1ctica adoptada durante mucho tiempo por los antiguos afiliados de Black Basta. A pesar de que el grupo cerr\u00f3 sus operaciones de ransomware a principios del a\u00f1o pasado, el manual no ha visto signos de desaceleraci\u00f3n.<\/p>\n

En un informe publicado la semana pasada, ReliaQuest revel\u00f3 que el enfoque se est\u00e1 utilizando para dirigirse a ejecutivos y empleados de alto nivel para obtener acceso inicial a las redes corporativas para posible robo de datos, movimiento lateral, implementaci\u00f3n de ransomware y extorsi\u00f3n. En algunos casos, los chats se iniciaron con s\u00f3lo 29 segundos de diferencia.<\/p>\n

El objetivo de la conversaci\u00f3n es enga\u00f1ar a las v\u00edctimas para que instalen herramientas leg\u00edtimas de administraci\u00f3n y monitoreo remoto (RMM) como Quick Assist o Supremo Remote Desktop para permitir el acceso pr\u00e1ctico, y luego convertirlas en armas para lanzar cargas \u00fatiles adicionales.<\/p>\n

\u00abDel 1 de marzo al 1 de abril de 2026, el 77 % de los incidentes observados se dirigieron a empleados de nivel superior, frente al 59 % en los dos primeros meses de 2026\u00bb, afirman los investigadores de ReliaQuest, John Dilgen y Alexa Feminella. dicho<\/a>. \u00abEsta actividad demuestra que las t\u00e1cticas m\u00e1s efectivas de un grupo amenazador pueden sobrevivir por mucho tiempo al grupo mismo\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

La cadena de ataque detallada por Mandiant, por otro lado, se desv\u00eda de este enfoque ya que se le indica a la v\u00edctima que haga clic en un enlace de phishing compartido a trav\u00e9s del chat de Teams para instalar un parche local para solucionar el problema del spam. Una vez que se hace clic en \u00e9l, se descarga un script AutoHotkey desde un dep\u00f3sito AWS S3 controlado por un actor de amenazas. La p\u00e1gina de phishing se llama \u00abUtilidad de sincronizaci\u00f3n y reparaci\u00f3n de buzones de correo v2.1.5\u00bb.<\/p>\n

El script est\u00e1 dise\u00f1ado para realizar un reconocimiento inicial y luego instalar SNOWBELT, una extensi\u00f3n de navegador maliciosa basada en Chromium, en el navegador Edge inici\u00e1ndolo en modo sin cabeza junto con el modificador de l\u00ednea de comando \u00ab\u2013load-extension\u00bb.<\/p>\n

\u00abEl atacante utiliz\u00f3 un script de control dise\u00f1ado para garantizar que la carga \u00fatil se entregue s\u00f3lo a los objetivos previstos mientras evad\u00eda las zonas de pruebas de seguridad automatizadas\u00bb, dijeron los investigadores de Mandiant, JP Glab, Tufail Ahmed, Josh Kelley y Muhammad Umair.<\/p>\n

\"\"<\/a><\/div>\n

\u00abEl script tambi\u00e9n verifica el navegador de la v\u00edctima. Si el usuario no est\u00e1 usando Microsoft Edge, la p\u00e1gina muestra una advertencia superpuesta persistente. Usando la extensi\u00f3n SNOWBELT, UNC6692 descarg\u00f3 archivos adicionales que incluyen scripts SNOWGLAZE, SNOWBASIN, AutoHotkey y un archivo ZIP que contiene un ejecutable Python port\u00e1til y las bibliotecas requeridas\u00bb.<\/p>\n

La p\u00e1gina de phishing tambi\u00e9n est\u00e1 dise\u00f1ada para servir a un Panel de gesti\u00f3n de configuraci\u00f3n con un bot\u00f3n destacado de \u00abComprobaci\u00f3n de estado\u00bb que, cuando se hace clic, solicita a los usuarios que introduzcan las credenciales de su buz\u00f3n de correo con fines aparentemente de autenticaci\u00f3n, pero, en realidad, se utiliza para recolectar y exfiltrar los datos a otro dep\u00f3sito de Amazon S3.<\/p>\n

El ecosistema de malware SNOW es un conjunto de herramientas modular que trabaja en conjunto para facilitar los objetivos del atacante. Mientras que SNOWBELT es una puerta trasera basada en JavaScript que recibe comandos y los transmite a SNOWBASIN para su ejecuci\u00f3n, SNOWGLAZE es un tunelizador basado en Python para crear un t\u00fanel WebSocket seguro y autenticado entre la red interna de la v\u00edctima y el servidor de comando y control (C2) del atacante.<\/p>\n

El tercer componente es SNOWBASIN, que opera como una puerta trasera persistente para permitir la ejecuci\u00f3n remota de comandos a trav\u00e9s de \u00abcmd.exe\u00bb o \u00abpowershell.exe\u00bb, captura de pantalla, carga\/descarga de archivos y autoterminaci\u00f3n. Se ejecuta como un servidor HTTP local en los puertos 8000, 8001 u 8002.<\/p>\n

Algunas de las otras acciones posteriores a la explotaci\u00f3n llevadas a cabo por UNC6692 despu\u00e9s de obtener acceso inicial son las siguientes:<\/p>\n