Alerta: UNC6692 suplanta helpdesk y usa Microsoft Teams para robar credenciales con malware Snow
Google Threat Intelligence Group (GTIG) ha atribuido a un actor emergente, rastreado como UNC6692, una campaña de intrusión basada en ingeniería social que combina invitaciones por chat en Microsoft Teams con suplantación de personal de helpdesk para robar credenciales y desplegar un kit propio bautizado como “Snow”. La relevancia para la industria es inmediata: el ataque explota flujos de trabajo cotidianos de Microsoft 365 y eleva el riesgo de compromiso inicial y persistencia sin recurrir a exploits, apoyándose en servicios cloud legítimos y componentes modulares.
Según GTIG, la actividad se detectó tras una “gran campaña de email” a finales de diciembre de 2025. El patrón operativo arranca saturando a la organización objetivo con un volumen anómalo de correos; después, un supuesto técnico de soporte contacta a la víctima por Microsoft Teams ofreciendo “ayuda” para resolver la incidencia. Ese contacto dirige a una página de aterrizaje que simula una utilidad de reparación de buzón (“Mailbox Repair Utility”) y empuja al usuario a autenticarse con email y contraseña, habilitando el robo directo de credenciales.
Una de las particularidades descritas por los analistas es una técnica psicológica de “doble entrada”: el formulario rechaza como incorrectos los primeros intentos de contraseña para inducir al usuario a reescribirla. Con ello, los atacantes obtienen la contraseña dos veces, reduciendo el riesgo de errores tipográficos y reforzando la percepción de legitimidad del proceso.
UNC6692 Teams helpdesk malware Snow: cadena de infección y persistencia
Tras la captura de credenciales, la web ejecuta comprobaciones falsas de integridad del buzón para mantener a la víctima ocupada mientras se envían credenciales y metadatos a infraestructura controlada por el atacante (incluyendo almacenamiento en Amazon S3) y se descargan archivos de preparación (“staging”) en el endpoint. GTIG advierte de que, cuando el usuario ve un mensaje del tipo “Configuration completed successfully”, el atacante ya puede haber asegurado las credenciales y establecido un punto de apoyo persistente en el equipo.
La primera etapa descarga un binario de AutoHotKey y un script asociado para reconocimiento del sistema y, a continuación, instala una extensión maliciosa para navegadores basados en Chromium llamada SnowBelt. Los investigadores subrayan que no se distribuye a través de Chrome Web Store, sino mediante engaño y acciones guiadas por el supuesto helpdesk.
Arquitectura del malware Snow: SnowBelt, SnowGlaze y SnowBasin
GTIG describe el ecosistema “Snow” como modular y compuesto por tres piezas principales. SnowBelt actúa como backdoor implementado en JavaScript y entregado como extensión de Chromium. Su función es proporcionar el acceso inicial y mantener persistencia apoyándose en el sistema de registro de extensiones del navegador. Para camuflarse, puede presentarse con nombres que imitan componentes corporativos, como “MS Heartbeat” o “System Heartbeat”.
SnowGlaze es un tunneler escrito en Python con soporte para entornos Windows y Linux. Gestiona la comunicación externa creando un túnel WebSocket autenticado entre la red interna de la víctima y la infraestructura de comando y control (C2), que puede apoyarse en subdominios de plataformas como Heroku. Para dificultar la detección, encapsula información en objetos JSON y la codifica en Base64 antes de enviarla por WebSockets, haciendo que el tráfico se parezca más a comunicaciones web cifradas habituales.
SnowBasin completa el conjunto como una bindshell en Python que habilita control interactivo del sistema comprometido. Opera como un servidor HTTP local y, según el informe, suele escuchar en el puerto 8000. Desde ahí permite ejecución remota de comandos, captura de pantallas y preparación de datos para su exfiltración, consolidando una puerta trasera persistente.
En la cadena descrita por GTIG, los comandos del atacante viajan por el túnel de SnowGlaze, son interceptados por la extensión SnowBelt y se proxifican al servidor local SnowBasin mediante solicitudes HTTP POST. SnowBasin ejecuta y devuelve los resultados por el mismo circuito, manteniendo el control remoto con una capa de ofuscación y segmentación funcional.
Contexto: abuso de Microsoft Teams y campañas paralelas
El análisis de Google llega después de que Microsoft publicara una advertencia sobre campañas que abusan de comunicaciones en Microsoft Teams y suplantan a helpdesk para tomar control remoto e infectar equipos. Aunque las tácticas son similares, los investigadores de Google indicaron que, por ahora, no observan relación directa entre el caso documentado por Microsoft y la actividad de UNC6692.
Para organizaciones que dependen de Microsoft 365, el mensaje es claro: el vector de entrada no necesita vulnerabilidades de día cero si el atacante puede explotar confianza, fatiga operativa y flujos de soporte internos. El uso de extensiones de Chromium como mecanismo de persistencia y de túneles WebSocket autenticados como canal C2 refuerza la sofisticación del enfoque, especialmente en entornos con fuerte dependencia de SaaS.
Fuentes: informe de Google Cloud Threat Intelligence sobre UNC6692 y su campaña de ingeniería social (Google Cloud) y análisis de Microsoft sobre suplantación cross-tenant de helpdesk en Teams (Microsoft Security Blog).
En conjunto, el caso UNC6692 Teams helpdesk malware Snow subraya cómo los atacantes están profesionalizando el “human-operated intrusion” apoyándose en herramientas comunes de colaboración y en componentes modulares que facilitan persistencia, control interactivo y exfiltración, con una barrera de entrada más baja que la explotación tradicional.
