Un grupo de atacantes identificado como UNC6692 ha puesto en marcha una campaña de ingeniería social y explotación profunda de redes que merece atención por su combinacion de engaños psicológicos y herramientas personalizadas para mantener acceso y extraer credenciales a gran escala.
La puerta de entrada de estas intrusiones no es una vulnerabilidad técnica desconocida, sino la manipulación humana: los atacantes generan un volumen de correos para crear sensación de urgencia y luego contactan a las víctimas por Microsoft Teams haciéndose pasar por soporte técnico, una táctica que facilita la instalación de artefactos maliciosos con apariencia de “parches” o utilidades administrativas. Para un análisis técnico y los indicadores que han publicado los investigadores, vale la pena revisar el informe de Mandiant en el blog de Google: https://cloud.google.com/blog/topics/threat-intelligence/unc6692-social-engineering-custom-malware.
La suite descubierta, apodada “Snow”, combina tres componentes principales: una extensión de navegador que actúa como enlace persistente en el equipo infectado, un túnel basado en WebSocket que oculta el tráfico y funciona como proxy SOCKS, y un backdoor en Python que expone un servidor HTTP local para ejecutar comandos remotos. El vector inicial incluye un dropper que ejecuta scripts de AutoHotkey y lanza el navegador en modo “headless” para que el usuario no perciba actividad visible, mientras que mecanismos clásicos como tareas programadas y accesos en la carpeta de inicio aseguran persistencia.
El procedimiento posterior a la intrusión sigue patrones peligrosamente efectivos: reconocimiento interno para localizar SMB y RDP expuestos, volcado de memoria de LSASS para robar credenciales y uso de técnicas como pass-the-hash para moverse lateralmente hasta controladores de dominio. En fases finales los atacantes consiguieron extraer la base de datos de Active Directory y ficheros sensibles del sistema, enviándolos fuera de la red mediante canales no convencionales. Estos pasos permiten al adversario un control profundo y la capacidad de tomar dominios enteros, lo que convierte la intrusión en un compromiso a nivel organizacional.
Las implicaciones son claras: no basta con proteger el perímetro. Un acceso inicial provocado por ingeniería social puede escalar rápidamente a pérdida de control del directorio corporativo y robo masivo de credenciales, lo que compromete la confidencialidad e integridad de sistemas críticos. Además, el uso de herramientas legítimas o de apariencia legítima (AutoHotkey, extensiones de navegador, navegación headless) complica la detección mediante firmas tradicionales.
Para mitigar este tipo de ataques conviene adoptar medidas técnicas y operativas simultáneas. En el plano de usuarios y soporte: educar de forma continua sobre la verificación de identidad del personal de helpdesk, desconfiar de links que pidan instalar “parches” desde comunicaciones inesperadas y evitar dar acceso remoto sin validación previa. En el plano técnico: aplicar multifactor en cuentas con privilegios, restringir y auditar el uso de herramientas de asistencia remota, bloquear o controlar la ejecución de scripts y binarios no aprobados (incluyendo AutoHotkey) mediante políticas de aplicación, y segmentar la red para limitar movimientos laterales.
Desde la detección, los equipos de seguridad deberían prestar atención a señales específicas: procesos de navegador en modo headless iniciados por usuarios no habituales, creación recurrente de tareas programadas o accesos en el inicio de sesión que no coincidan con cambios autorizados, conexiones WebSocket salientes a destinos desconocidos y cualquier tráfico que aparezca actuando como proxy SOCKS. Correlacionar estos eventos con intentos de volcado de memoria o actividad anómala en controladores de dominio aumenta la probabilidad de identificar una intrusión antes de la exfiltración masiva.
Si se confirma una intrusión, la respuesta debe incluir aislamiento del host afectado, preservación de pruebas (captura de memoria y volcado de discos), análisis de los hives de registro y del Active Directory comprometido, y rotación forzada de credenciales privilegiadas. Dependiendo del alcance, la remediación puede exigir reconstruir controladores de dominio y ejecutar un plan de recuperación que incluya la revocación de certificados y credenciales expuestas; coordinar con proveedores de detección y respuesta y consultar IoC y reglas YARA publicadas en informes técnicos ayudará a acelerar la limpieza.
Para equipos que deseen profundizar en la caracterización de tácticas y técnicas utilizadas por adversarios como UNC6692, la matriz ATT&CK de MITRE sigue siendo una referencia útil para mapear detección y controles: https://attack.mitre.org/. Complementar esa referencia con las recomendaciones prácticas y los IoC publicados por los investigadores maximiza la capacidad de respuesta y cierre de vectores explotados.
En definitiva, la campaña Snow es un recordatorio de que la combinación de ingeniería social, herramientas personalizadas y abuso de canales legítimos puede convertir un pequeño error humano en un desastre corporativo. La defensa efectiva exige capacitación continua, controles técnicos estrictos sobre ejecución y acceso, segmentación de redes y procedimientos de respuesta bien ensayados para evitar que un “parche” falso se convierta en la llave maestra del atacante.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...