Netcrook Logo
👤 LOGICFALCON
🗓️ 27 Apr 2026  

“Avalancha de Bandeja de Entrada”: Ciberdelincuentes Desatan un Ataque ‘Nieve’ Multietapa con una Oleada de Ingeniería Social

Un nuevo actor de amenazas, UNC6692, orquesta una astuta táctica de bombardeo de correos electrónicos y soporte técnico falso para infiltrarse en organizaciones con un sofisticado marco de malware.

En diciembre de 2025, una avalancha de correos electrónicos marcó el inicio de una escalofriante campaña cibernética. Las víctimas encontraron sus bandejas de entrada saturadas, sus nervios al límite y sus defensas digitales puestas a prueba - no solo por fuerza técnica bruta, sino por una auténtica clase magistral de manipulación psicológica. En el centro: un grupo en la sombra conocido como UNC6692, que combina la ingeniería social clásica con malware de última generación para vulnerar incluso a las organizaciones más vigilantes.

El ataque comenzó con una distracción clásica: víctimas abrumadas por un aluvión de correos electrónicos. Pero no se trataba de una campaña de spam cualquiera. Poco después, los objetivos recibían un mensaje a través de Microsoft Teams de alguien que decía ser soporte técnico, ofreciendo ayuda ante la sospechosa avalancha. El engaño se profundizaba cuando las víctimas eran dirigidas a una página de phishing cuidadosamente diseñada que simulaba ser una utilidad de reparación de buzones - con barras de progreso convincentes y solicitudes de autenticación destinadas a recolectar credenciales y generar una falsa sensación de seguridad.

Tras bambalinas, la pericia técnica de los atacantes entraba en acción. Un script descargaba y ejecutaba programas AutoHotKey, que instalaban subrepticiamente una extensión de navegador maliciosa llamada Snowbelt. Esta extensión, alojada en el entorno familiar de Chromium, se convertía en el punto de apoyo para una brecha mayor. Para asegurar que el malware sobreviviera a los reinicios del sistema, los atacantes configuraban accesos directos de inicio en Windows y tareas programadas, haciendo que la infección fuera obstinadamente persistente.

A partir de esta primera intrusión, la campaña de UNC6692 se desplegó con una precisión escalofriante. La extensión Snowbelt descargaba silenciosamente cargas adicionales - including la herramienta de tunelización Snowglaze y la puerta trasera Snowbasin - desde almacenamiento en la nube controlado por los atacantes. Snowglaze establecía un túnel cifrado, permitiendo a los atacantes moverse lateralmente dentro de la red y escalar privilegios. Utilizando herramientas como PsExec y Remote Desktop Protocol, recolectaban credenciales de administrador, extraían memoria sensible de servidores de respaldo y exfiltraban grandes volúmenes de datos a través de canales anonimizados.

Lo que distingue a esta campaña es su fusión impecable de manipulación humana y subterfugio técnico. Al alojar el malware en plataformas de confianza como AWS, los operadores de UNC6692 eludían las defensas tradicionales, camuflándose entre el tráfico legítimo en la nube y explotando el eslabón más débil: el factor humano. El marco modular ‘Snow’ - Snowbelt, Snowglaze, Snowbasin - permitía una cadena de ataque coordinada y adaptable, capaz de navegar desde puntos de entrada en el navegador hasta el corazón de las redes organizacionales.

A medida que los ciberdelincuentes combinan cada vez más trucos psicológicos con malware avanzado, la línea entre la ingeniería social y la vulneración técnica se difumina. La campaña de UNC6692 es un recordatorio contundente: incluso la mejor tecnología puede ser anulada por un instante de confianza mal depositada. En el juego del gato y el ratón de la ciberseguridad moderna, la vigilancia y el escepticismo siguen siendo la primera - y a veces la última - línea de defensa.

WIKICROOK

  • Bombardeo de Correos Electrónicos: El bombardeo de correos electrónicos es un ciberataque en el que los atacantes saturan una bandeja de entrada con mensajes excesivos, abrumando al usuario y dificultando el uso normal del correo.
  • Ingeniería Social: La ingeniería social es el uso de engaños por parte de hackers para que las personas revelen información confidencial o permitan el acceso no autorizado a sistemas.
  • Extensión de Navegador: Una extensión de navegador es un pequeño complemento que amplía las funciones del navegador, pero que también puede ser mal utilizado por hackers para robar datos o espiar a los usuarios.
  • Persistencia: La persistencia implica técnicas utilizadas por el malware para sobrevivir a reinicios y permanecer oculto en los sistemas, a menudo imitando procesos o actualizaciones legítimas.
  • Movimiento Lateral: El movimiento lateral ocurre cuando los atacantes, tras vulnerar una red, se desplazan lateralmente para acceder a más sistemas o datos sensibles, ampliando su control y alcance.
Cyberattack Social Engineering Malware
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news