Nubes de Engaño: Dentro del Asedio Cibernético Híbrido de UNC6692

Todo comenzó con una avalancha de correos electrónicos: irritantes, implacables y aparentemente aleatorios. Pero para un empleado desprevenido, este diluvio digital fue solo el acto de apertura de un ciberataque meticulosamente planeado. Haciéndose pasar por personal de soporte técnico en Microsoft Teams, los atacantes ofrecieron una solución. Un solo clic puso en marcha una cadena de eventos que revelaría las señas de identidad de uno de los grupos de amenazas más astutos hasta la fecha: UNC6692.

La anatomía del ataque de UNC6692 se lee como un thriller de cibercrimen. Tras saturar la bandeja de entrada de la víctima, los atacantes aprovecharon Microsoft Teams para hacerse pasar por soporte técnico interno, enviando un enlace de phishing bajo el pretexto de una urgente actualización de seguridad. Cuando las víctimas hacían clic, descargaban sin saberlo archivos desde un bucket de AWS S3 - un abuso de la infraestructura en la nube que permitía que las cargas maliciosas se mezclaran perfectamente con el tráfico legítimo.

Los archivos descargados incluían un binario y un script de AutoHotkey renombrados, que se ejecutaban automáticamente gracias a un ingenioso truco de nombres. Este primer acceso permitió la instalación de SNOWBELT - una extensión de navegador maliciosa que no se encuentra en ninguna tienda oficial. Con SNOWBELT en funcionamiento, UNC6692 desplegó más herramientas: un tunelizador en Python (Snowglaze), una puerta trasera persistente (Snowbasin) y scripts adicionales, todos diseñados para mantener un acceso y control sigilosos.

Una vez dentro, los atacantes escanearon la red en busca de puertos vulnerables y cuentas de administrador. Usando credenciales secuestradas, tunelizaron hacia servidores de respaldo y extrajeron la memoria de LSASS - un proceso que almacena información sensible de inicio de sesión. Las credenciales extraídas se usaron luego para saltar por la red, apuntando finalmente a los controladores de dominio y posicionando al grupo para un robo de datos a gran escala.

Lo que distingue a UNC6692 es su enfoque profesional y modular. Al abusar de servicios en la nube confiables tanto para la entrega de cargas como para la comunicación de comando y control (C2), eluden las defensas tradicionales que dependen de la reputación o el monitoreo de red. Los analistas de Google advierten que los defensores ahora deben vigilar extensiones de navegador, entornos Python y tráfico en la nube de manera conjunta para detectar estas amenazas híbridas a tiempo.

A medida que los ciberdelincuentes como UNC6692 combinan manipulación psicológica con sofisticación técnica, la línea entre actividad legítima y maliciosa se vuelve cada vez más difusa. Sus ataques sirven como una advertencia contundente: en la era de la nube, la vigilancia debe ir mucho más allá del perímetro, alcanzando cada servicio, script y mensaje aparentemente útil.

WIKICROOK

• Ingeniería Social: La ingeniería social es el uso del engaño por parte de hackers para engañar a las personas y hacer que revelen información confidencial o proporcionen acceso no autorizado a sistemas.
• AWS S3 Bucket: Los buckets de AWS S3 son contenedores de almacenamiento en la nube de Amazon Web Services, utilizados para almacenar y gestionar datos de forma segura y eficiente en línea.
• AutoHotkey: AutoHotkey es un lenguaje de scripting para automatización en Windows, pero puede ser abusado por atacantes para ejecutar scripts maliciosos o automatizar ciberataques.
• LSASS: LSASS es un proceso de Windows que gestiona políticas de seguridad y credenciales, lo que lo convierte en un objetivo común para atacantes que buscan robar información de usuarios.
• Pass-the-Hash: Pass-the-Hash es un ataque cibernético en el que los atacantes usan hashes de contraseñas robadas para acceder a sistemas, sin necesidad de la contraseña real.