Ingeniería social Microsoft Teams: Alerta por campaña de UNC6692

En el cambiante ecosistema de las ciberamenazas, los atacantes han comprendido que el eslabón más débil no siempre es el software, sino la confianza del usuario. El 24 de abril de 2026 marcará un hito en la sofisticación de estos ataques con la identificación del clúster de actividad UNC6692. Esta entidad ha desplegado una campaña de ingeniería social Microsoft Teams a escala industrial, transformando una herramienta esencial de colaboración en un caballo de Troya corporativo. A diferencia de las campañas de phishing convencionales por correo electrónico, que a menudo son interceptadas por filtros de seguridad avanzados, UNC6692 opera dentro de un entorno que los empleados consideran intrínsecamente seguro, lo que les permite eludir las defensas perimetrales y establecer una comunicación directa con sus víctimas.

El Surgimiento de UNC6692: Más allá del Phishing Convencional

La campaña detectada hoy no es un incidente aislado, sino una operación meticulosamente orquestada que utiliza la ingeniería social Microsoft Teams como eje central. Los investigadores de Mandiant y el Grupo de Inteligencia de Amenazas de Google han revelado que UNC6692 no solo busca engañar; busca abrumar al usuario. El ataque suele comenzar con una técnica conocida como email bombing. Las bandejas de entrada de las víctimas se ven inundadas por cientos de correos de spam en cuestión de segundos, creando un estado de confusión y urgencia. En medio de este caos, el atacante lanza el ataque definitivo: un mensaje a través de Microsoft Teams.

Poco después de que el usuario se siente abrumado por el volumen de correos, recibe un chat de una cuenta externa que se hace pasar por un empleado del soporte técnico interno de la empresa. El mensaje es simple y aparentemente servicial: “¿Estás teniendo problemas con tu bandeja de entrada? Soy del equipo de IT y estoy aquí para ayudarte a limpiar el spam”. Esta transición del correo electrónico (un canal saturado y bajo ataque) a Teams (un canal percibido como de “ayuda”) es la clave del éxito de UNC6692. El atacante aprovecha la característica de “Acceso Externo” de Teams, que a menudo está habilitada de manera predeterminada en muchas organizaciones, permitiendo que cuentas ajenas al dominio empresarial inicien conversaciones con empleados internos.

La Psicología del Engaño: El Factor Humano en Teams

Los datos sugieren que este grupo tiene como objetivo principal a empleados de alto nivel y ejecutivos. Entre marzo y abril de 2026, el 77% de los incidentes observados involucraron a personal con acceso a datos sensibles. La táctica de ingeniería social Microsoft Teams es particularmente efectiva porque el atacante guía al usuario paso a paso en un proceso de “ejecución guiada”. No se limitan a enviar un enlace malicioso; interactúan en tiempo real, resolviendo dudas y presionando para que se sigan instrucciones específicas antes de que el usuario tenga tiempo de consultar con sus canales de soporte legítimos.

Análisis Técnico del Ecosistema de Malware SNOW

Una vez que el atacante ha ganado la confianza inicial, el objetivo es la implementación de la suite de malware personalizada denominada SNOW. Esta suite no es un único ejecutable, sino un ecosistema modular diseñado para la persistencia y la invisibilidad. La implementación suele ocurrir de dos formas: mediante la descarga de un supuesto “parche de reparación” o a través del abuso de herramientas de acceso remoto legítimas.

El ecosistema SNOW se divide en tres componentes críticos que trabajan en sincronía:

• SNOWBELT: Es una extensión maliciosa para navegadores basados en Chromium (como Microsoft Edge y Google Chrome). Se disfraza bajo nombres como “System Heartbeat” o “MS Heartbeat”. Esta extensión actúa como el backdoor principal a nivel de navegador, permitiendo la captura de credenciales y la manipulación de sesiones de usuario sin necesidad de archivos ejecutables tradicionales en el disco.
• SNOWGLAZE: Un “tunneler” basado en Python que crea puentes de comunicación cifrados mediante WebSockets. Utiliza JSON codificado en Base64 para ocultar su tráfico dentro de protocolos web estándar (HTTPS), lo que hace que la comunicación con el servidor de comando y control (C2) sea indistinguible del tráfico legítimo de la nube.
• SNOWBASIN: El componente de persistencia y ejecución. SNOWBASIN funciona como un servidor HTTP local en la máquina de la víctima, escuchando típicamente en los puertos 8000, 8001 o 8002. Permite a los atacantes ejecutar comandos remotos a través de cmd.exe o powershell.exe, realizar capturas de pantalla y gestionar la subida y bajada de archivos.

Despliegue y Persistencia mediante AutoHotkey

Para asegurar que el malware SNOW sobreviva a un reinicio del sistema, UNC6692 utiliza scripts de AutoHotkey (AHK). Estos scripts se configuran como tareas programadas en Windows. Al utilizar el intérprete legítimo de AutoHotkey, el ataque evade las detecciones basadas en firmas que suelen buscar ejecutables de malware conocidos. El script AHK se encarga de descargar los componentes de Python necesarios y de inicializar la extensión SNOWBELT en modo headless (sin interfaz gráfica) mediante interruptores de línea de comandos en el navegador, permitiendo que el atacante opere en las sombras mientras el usuario cree que su equipo está siendo reparado.

Abuso de Herramientas Legítimas: Quick Assist y Supremo

Un pilar fundamental de la ingeniería social Microsoft Teams practicada por UNC6692 es el uso de herramientas de administración remota (RMM) legítimas, como Quick Assist (Asistencia rápida de Windows) y Supremo Remote Desktop. El atacante, posando como soporte técnico, solicita al usuario que inicie una sesión de asistencia técnica y proporcione un código de acceso.

Este método es extremadamente peligroso por tres razones principales:

1. Aprobación del Usuario: Al ser una herramienta integrada en el sistema operativo, muchos firewalls y soluciones EDR no bloquean la conexión inicial porque se considera una actividad autorizada por el usuario final.
2. Escalada de Privilegios: Una vez dentro, el atacante convence al usuario de realizar acciones que requieren privilegios de administrador o de aceptar advertencias de seguridad que normalmente detendrían una infección automática.
3. Invisibilidad: No se detecta malware en la etapa inicial de acceso, ya que se están utilizando binarios firmados por Microsoft u otros proveedores confiables.

Una vez que el control remoto es establecido, el atacante descarga e instala la suite SNOW manualmente, configurando la persistencia de forma inmediata y comenzando las actividades de post-explotación en cuestión de segundos.

Movimiento Lateral y Exfiltración: El Objetivo Final

El acceso inicial a través de la ingeniería social Microsoft Teams es solo el principio. Los informes de seguridad indican que, tras la infección inicial con SNOW, los atacantes de UNC6692 despliegan scripts de Python para escanear la red local en busca de puertos críticos como el 135 (RPC), 445 (SMB) y 3389 (RDP). El objetivo es identificar servidores de respaldo y controladores de dominio.

En ataques documentados recientemente, se observó que el grupo utilizaba PsExec para moverse lateralmente y accedía a servidores de respaldo para extraer volcados de memoria del proceso LSASS (Local Security Authority Subsystem Service). Este volcado contiene hashes de contraseñas de administradores que luego son procesados fuera de línea. Sorprendentemente, para la exfiltración de estos datos masivos, se ha reportado el uso de protocolos antiguos y herramientas como LimeWire, buscando confundir a los analistas de tráfico que no esperan ver aplicaciones de este tipo en entornos corporativos modernos.

Finalmente, una vez que obtienen acceso al controlador de dominio, utilizan herramientas como FTK Imager para extraer la base de datos de Active Directory (ntds.dit) y las colmenas del registro (SYSTEM y SECURITY), lo que les otorga el control total sobre la identidad de toda la organización.

Estrategias de Mitigación y Defensa Proactiva

Para combatir la amenaza de ingeniería social Microsoft Teams, las organizaciones deben adoptar un enfoque de “confianza cero” que se extienda a las plataformas de colaboración. No basta con proteger el correo electrónico; el chat corporativo es ahora el nuevo frente de batalla.

Restricciones de Dominio y Configuración de Tenant

La medida más efectiva es restringir las comunicaciones externas en Microsoft Teams. Los administradores deben configurar sus tenants para permitir el acceso externo solo a dominios conocidos y validados mediante una “Lista de Permitidos” (Allow List). Si su organización no requiere comunicarse con usuarios externos a través de Teams, esta función debe desactivarse por completo.

Detección de Extensiones y Herramientas de Acceso Remoto

Las soluciones de EDR (Endpoint Detection and Response) deben configurarse para alertar sobre la instalación de extensiones de navegador inusuales, especialmente aquellas que se ejecutan en modo desarrollador o con comandos de línea de comandos sospechosos. Asimismo, se debe monitorear el uso de Quick Assist y Supremo, limitando su ejecución solo a cuentas de administrador legítimas debidamente identificadas.

Educación del Usuario y Flujos de Verificación

La formación en ciberseguridad debe actualizarse para incluir escenarios de ingeniería social Microsoft Teams. Los empleados deben saber que el personal de soporte técnico legítimo de su empresa:

• Nunca solicitará acceso remoto a través de una invitación de chat no solicitada.
• Utilizará canales de comunicación internos y conocidos, nunca dominios externos (como @outlook.com o dominios similares).
• No pedirá la instalación de software de “reparación” a través de enlaces directos en un chat.

Es vital implementar un proceso de verificación “fuera de banda”. Si un empleado recibe un mensaje de soporte, debe confirmarlo a través de un portal interno de tickets o mediante una llamada telefónica al departamento de IT antes de realizar cualquier acción.

Conclusión: El Futuro de la Seguridad en Colaboración

La campaña de UNC6692 demuestra que los atacantes están siguiendo a los empleados hacia donde estos se sienten más cómodos. La ingeniería social Microsoft Teams ha demostrado ser una herramienta formidable en manos de actores de amenazas sofisticados, permitiéndoles bypassar años de inversión en seguridad de correo electrónico. A medida que avanzamos en 2026, la resiliencia de una empresa no solo se medirá por su capacidad para detener exploits técnicos, sino por su habilidad para proteger la integridad de sus flujos de trabajo de colaboración y la vigilancia constante de sus usuarios frente a la manipulación psicológica.