UNC6692: Cómo un falso parche de Microsoft Teams puede comprometer toda una red corporativa
Un grupo de ciberdelincuentes identificado como UNC6692 está utilizando una combinación de técnicas de ingeniería social para infiltrarse en sistemas corporativos, aprovechando herramientas cotidianas como Microsoft Teams para engañar a empleados y desplegar malware avanzado. La estrategia, que combina el bombardeo masivo de correos electrónicos con mensajes falsos de soporte técnico, no solo busca infectar un equipo individual, sino tomar el control completo de la infraestructura de una organización, incluyendo bases de datos críticas como Active Directory.
El engaño: de la saturación de correos a la falsa solución por Teams
El ataque comienza con una táctica conocida como email bombing, donde los ciberdelincuentes envían una avalancha de mensajes no deseados a la bandeja de entrada de la víctima. El objetivo no es solo molestar, sino generar una sensación de urgencia y caos que lleve al empleado a buscar ayuda. En ese momento, los atacantes dan el siguiente paso: contactan a la víctima a través de Microsoft Teams, haciéndose pasar por personal del departamento de TI o helpdesk de la empresa.
El mensaje suele ofrecer una solución rápida para detener el bombardeo de correos, presentando un supuesto «parche de seguridad» que, en realidad, es un dropper malicioso. Al instalarlo, el usuario no solo no resuelve el problema, sino que abre las puertas a una cadena de infección diseñada para permanecer oculta y expandirse por la red.
El malware Snow: sigilo y persistencia en el sistema
Una vez ejecutado el falso parche, el malware Snow —componente central de esta campaña— se activa mediante scripts de AutoHotkey, una herramienta legítima que los atacantes han adaptado para fines maliciosos. Una de las piezas clave de este conjunto es SnowBelt, una extensión maliciosa para Chrome que se carga en una instancia oculta de Microsoft Edge, evitando que el usuario detecte actividad sospechosa en su navegador.
Para garantizar su persistencia en el sistema, los atacantes implementan varias técnicas:
- Creación de tareas programadas que reactivan el malware en caso de reinicio.
- Inserción de un acceso directo en la carpeta de inicio del usuario.
- Despliegue de módulos adicionales que identifican y cierran procesos de Edge «no deseados» (es decir, instancias legítimas que podrían interferir con la extensión maliciosa).
Este enfoque no solo permite a los ciberdelincuentes mantener el control remoto del equipo infectado, sino también moverse lateralmente dentro de la red, escalando privilegios hasta acceder a información sensible, como credenciales de dominio y bases de datos corporativas.
¿Por qué Teams se ha convertido en un vector de ataque preferido?
El uso de Microsoft Teams como canal de ingeniería social no es casual. A diferencia del correo electrónico —donde los filtros antispam y las alertas de seguridad han mejorado—, las plataformas de mensajería corporativa ofrecen a los atacantes ventajas clave:
- Inmediatez y contexto laboral: Un mensaje en Teams suele percibirse como más urgente y legítimo que un correo, especialmente si proviene de un supuesto compañero de soporte técnico.
- Menor escrutinio: Los empleados están acostumbrados a recibir solicitudes de instalación de software o actualizaciones a través de chats internos, lo que reduce las sospechas.
- Integración con herramientas corporativas: Teams está vinculado a otros servicios de Microsoft 365, lo que facilita a los atacantes aprovechar credenciales robadas para moverse dentro del ecosistema de la empresa.
En esta campaña, UNC6692 no se limita a infectar un dispositivo: busca comprometer todo el entorno de la organización, desde estaciones de trabajo hasta servidores críticos. El robo de la base de datos de Active Directory, por ejemplo, puede otorgar a los atacantes acceso a cuentas con altos privilegios, permitiéndoles desplegar ransomware, exfiltrar datos confidenciales o incluso mantener una presencia persistente en la red durante meses.
Recomendaciones para protegerse
Ante amenazas como la de UNC6692, los expertos en ciberseguridad recomiendan a las empresas adoptar medidas proactivas:
- Verificación en dos pasos: Implementar autenticación multifactor (MFA) para todos los accesos a sistemas corporativos, especialmente para cuentas con privilegios administrativos.
- Capacitación continua: Entrenar a los empleados para identificar intentos de ingeniería social, como solicitudes inesperadas de instalación de software o cambios en la configuración.
- Monitoreo de actividades sospechosas: Supervisar el comportamiento anómalo en herramientas como Teams, Edge o AutoHotkey, que podrían indicar la presencia de malware.
- Actualizaciones y parches: Mantener todos los sistemas y aplicaciones actualizados, pero solo descargar parches desde fuentes oficiales, nunca a través de enlaces o archivos adjuntos no solicitados.
El caso de UNC6692 subraya cómo los ciberdelincuentes están evolucionando sus tácticas para explotar la confianza en herramientas cotidianas. En un entorno donde el teletrabajo y la colaboración remota son la norma, la seguridad ya no depende solo de firewalls y antivirus, sino también de la capacidad de los empleados para reconocer amenazas que llegan disfrazadas de soluciones.
