Netcrook Logo
👤 TRUSTBREAKER
🗓️ 27 Apr 2026  

Fantasmas en el Chat: Cómo UNC6692 Secuestró Microsoft Teams para Espionaje Corporativo

Un nuevo grupo de hackers convierte herramientas de oficina cotidianas y trucos psicológicos en armas para robar credenciales en un sofisticado golpe de datos.

El caos matutino en la bandeja de entrada fue solo el comienzo. Mientras los empleados se apresuraban a limpiar miles de correos basura, un mensaje tranquilo del “Soporte Técnico” apareció en Microsoft Teams. Ofrecía una solución rápida: un parche para detener el aluvión. Pero detrás de la amable fachada se escondía UNC6692, un actor de amenazas en la sombra que orquestaba una de las campañas de robo de datos más astutas de los últimos tiempos. ¿Su arma? El ecosistema de malware SNOW, un kit digital modular diseñado para evadir defensas mientras se oculta a simple vista.

La cadena de ataque comienza con una abrumadora oleada de correos basura - un truco antiguo con un giro nuevo. Mientras las víctimas están distraídas, UNC6692 se infiltra en sus chats de Microsoft Teams, haciéndose pasar por personal de TI servicial. A las víctimas se les ofrece un falso “parche” contra el mismo spam que inunda sus bandejas de entrada. El enlace lleva a una convincente página de inicio de sesión, presentada como una Utilidad de Reparación de Buzón, que rechaza astutamente los dos primeros intentos de contraseña para dar una falsa sensación de seguridad. Cuando la víctima finalmente accede, scripts maliciosos se descargan en silencio, lanzando el ecosistema SNOW en la red corporativa.

El kit de herramientas SNOW es tanto modular como insidioso. Su extensión de navegador SNOWBELT establece el primer punto de apoyo, retransmitiendo comandos a los atacantes. SNOWGLAZE, un túnel basado en Python, crea canales encubiertos para la comunicación continua, mientras que SNOWBASIN, una potente puerta trasera, permite la ejecución remota de comandos y la vigilancia del sistema. Con estas herramientas, UNC6692 mapea silenciosamente la red interna, buscando puertos abiertos y servidores vulnerables.

El verdadero premio está en la columna vertebral de autenticación de la empresa. Al apuntar al proceso LSASS en servidores de respaldo, los atacantes extraen credenciales sensibles usando una técnica llamada Pass-The-Hash. Esto les permite moverse lateralmente hacia los Controladores de Dominio - servidores que guardan las llaves del reino digital. Con herramientas como FTK Imager, los hackers exfiltran bases de datos completas de Active Directory y colmenas del registro, que contienen los secretos de cada cuenta de usuario. Los datos robados son luego extraídos utilizando herramientas de exfiltración como LimeWire, dejando pocos rastros tras de sí.

Lo que distingue a esta campaña es su capacidad para imitar tráfico legítimo. Al abusar de plataformas confiables como Microsoft Teams y aprovechar malware multiplataforma, UNC6692 evade muchas defensas convencionales. Los expertos advierten que solo correlacionando anomalías sutiles entre navegadores, scripts locales y servicios en la nube, las organizaciones pueden esperar detectar estas amenazas a tiempo.

A medida que los ciberdelincuentes se vuelven cada vez más sofisticados, la línea entre la charla de oficina normal y el engaño digital nunca ha sido más delgada. En un mundo donde un simple mensaje de Teams puede abrir la puerta a una brecha a gran escala, la vigilancia y la detección avanzada de amenazas ya no son opcionales - son la última línea de defensa.

WIKICROOK

  • Ingeniería Social: La ingeniería social es el uso del engaño por parte de hackers para engañar a las personas y que revelen información confidencial o proporcionen acceso no autorizado a sistemas.
  • Robo de Credenciales: El robo de credenciales ocurre cuando los hackers sustraen nombres de usuario y contraseñas, a menudo mediante phishing o brechas de datos, para acceder ilegalmente a cuentas en línea.
  • Movimiento Lateral: El movimiento lateral es cuando los atacantes, tras vulnerar una red, se desplazan lateralmente para acceder a más sistemas o datos sensibles, ampliando su control y alcance.
  • Pass: Pass-the-Hash es un ataque cibernético en el que los atacantes usan hashes de contraseñas robados para acceder a sistemas, sin necesidad de la contraseña real.
  • Controlador de Dominio: Un Controlador de Dominio es un servidor central en redes Windows que gestiona la autenticación de usuarios, políticas de seguridad y acceso a recursos de red.
UNC6692 Microsoft Teams Credential Theft
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news