Un grupo de cibercrimen identificado como UNC6RE6692 está utilizando Microsoft Teams y el malware personalizado 'Snow' para infiltrarse en organizaciones y robar datos sensibles, según un informe del Google Threat Intelligence Group (GTIG).
Los investigadores de Google detectaron al grupo por primera vez tras identificar una masiva campaña de correo electrónico a finales de diciembre de 2025. Los atacantes comienzan inundando a las organizaciones objetivo con un volumen abrumador de correos para generar una sensación de urgencia.
Tras el envío de spam, los atacantes contactan a los empleados a través de Microsoft Teams, suplantando la identidad del personal de soporte técnico (helpdesk). Se ofrecen a solucionar los problemas de saturación del correo electrónico engañando a los usuarios para que hagan clic en enlaces de una supuesta 'Utilidad de Reparación de Bandeja de Entrada'.
Según informa The Register, la página de phishing emplea un truco psicológico de 'doble entrada'. El script rechaza automáticamente el primer y segundo intento de contraseña como incorrectos, manipulando a la víctima para que crea que el sistema es legítimo.
'Esto cumple dos funciones: refuerza la creencia del usuario de que el sistema es legítimo y realiza una validación en tiempo real, además de asegurar que el atacante capture la contraseña dos veces, reduciendo significativamente el riesgo de errores tipográficos en los datos robados', informó GTIG.
Mientras el usuario espera una falsa comprobación de integridad, el sitio envía las credenciales y metadatos a un bucket de Amazon S3 controlado por los atacantes. Posteriormente, el ataque prepara archivos en la máquina del usuario para establecer una presencia persistente en el sistema.
El ecosistema de malware Snow
La fase inicial de la infección descarga un script de AutoHotKey que instala una extensión maliciosa de Chromium llamada SnowBelt. Esta extensión no está disponible en las tiendas oficiales y depende de la ingeniería social para su distribución.
SnowBelt actúa como una puerta trasera (backdoor) basada en JavaScript, utilizando a menudo nombres engañosos como 'MS Heartbeat' o 'System Heartbeat' para evitar la detección. Esta extensión sirve como puerta de entrada para el resto de la familia de malware 'Snow', que incluye a SnowGlaze y SnowBaserm.
SnowGlaze es un túnel basado en Python capaz de ejecutarse tanto en entornos Windows como Linux. Gestiona la comunicación con la infraestructura de comando y control de los atacantes, utilizando frecuentemente subdominios de Heroku.
Para evadir la detección, el malware encapsula el tráfico malicioso en objetos JSON y utiliza codificación Base64. Esta técnica logra que la transferencia de datos parezca tráfico web estándar y cifrado.
