Um grupo de atacantes identificado como UNC6692 A campanha de engenharia social e exploração profunda de redes merece atenção pela sua combinação de enganos psicológicos e ferramentas personalizadas para manter acesso e extrair credenciais em grande escala.
A porta de entrada destas invasões não é uma vulnerabilidade técnica desconhecida, mas a manipulação humana: os atacantes geram um volume de e-mails para criar sensação de urgência e depois contactam as vítimas pela Microsoft Teams fazendo passar por suporte técnico, uma tática que facilita a instalação de artefatos maliciosos com aparência de “parches” ou utilidades administrativas. Para uma análise técnica e os indicadores que os pesquisadores publicaram, vale a pena rever o relatório de Mandiant no blog do Google: https://cloud.google.com/blog/topics/threat-intelligence/unc6692-social-engineering-custom-malware.
A suíte descoberta, apodada "Snow", combina três componentes principais: uma extensão de navegador que atua como ligação persistente no computador infectado, um túnel baseado em WebSocket que oculta o tráfego e funciona como proxy SOCKS, e um backdoor em Python que expõe um servidor HTTP local para executar comandos remotos. O vetor inicial inclui um dropper que executa scripts do AutoHotkey e lança o navegador em modo “headless” para que o usuário não perceba atividade visível, enquanto mecanismos clássicos como tarefas programadas e acessos na pasta de início garantem persistência.
O procedimento pós-intrusão segue padrões perigosamente efetivos: reconhecimento interno para localizar SMB e RDP expostos, voltado de memória de LSASS para roubar credenciais e uso de técnicas como pass-the-hash para se mover lateralmente até controladores de domínio. Em fases finais, os atacantes conseguiram extrair a base de dados do Active Directory e arquivos sensíveis do sistema, tornando-os fora da rede através de canais não convencionais. Esses passos permitem ao adversário um controle profundo e a capacidade de tomar domínios inteiros, o que converte a intrusão em um compromisso a nível organizacional.
As implicações são claras: não basta proteger o perímetro. Um acesso inicial provocado por engenharia social pode rapidamente escalar a perda de controle do diretório corporativo e roubo massivo de credenciais, o que compromete a confidencialidade e integridade de sistemas críticos. Além disso, o uso de ferramentas legítimas ou de aparência legítima (AutoHotkey, extensões de navegador, navegação headless) complica a detecção através de assinaturas tradicionais.
Para mitigar este tipo de ataques, é conveniente adoptar medidas técnicas e operacionais simultâneas. No plano de usuários e suporte: educar continuamente sobre a verificação de identidade do pessoal de helpdesk, desconfiar de links que peçam instalar “parches” desde comunicações inesperadas e evitar dar acesso remoto sem validação prévia. No plano técnico: aplicar multifator em contas com privilégios, restringir e auditar o uso de ferramentas de assistência remota, bloquear ou controlar a execução de programas e binários não aprovados (incluindo AutoHotkey) através de políticas de aplicação, e segmentar a rede para limitar movimentos laterais.
Desde a detecção, os equipamentos de segurança devem prestar atenção a sinais específicos: processos de navegador em modo headless iniciados por usuários não habituais, criação recorrente de tarefas programadas ou acessos no início de sessão que não coincidam com mudanças autorizadas, ligações WebSocket salientes a destinos desconhecidos e qualquer tráfego que apareça atuando como proxy SOCKS. Correlacionar estes eventos com tentativas de virar memória ou atividade anómala em controladores de domínio aumenta a probabilidade de identificar uma intrusão antes da exfiltração massiva.
Se for confirmada uma intrusão, a resposta deve incluir isolamento do host afetado, preservação de testes (captura de memória e acabamento de discos), análise dos fives de registro e do Active Directory comprometido, e rotação forçada de credenciais privilegiadas. Dependendo do alcance, a remediação pode exigir reconstruir controladores de domínio e executar um plano de recuperação que inclua a revogação de certificados e credenciais expostas; coordenar com fornecedores de detecção e resposta e consultar IoC e regras YARA publicadas em relatórios técnicos ajudará a acelerar a limpeza.
Para equipes que desejam aprofundar a caracterização de táticas e técnicas utilizadas por adversários como UNC6692, a matriz ATT&CK do MITRE continua sendo uma referência útil para mapear detecção e controles: https://attack.mitre.org/. Complementar essa referência com as recomendações práticas e os IoC publicados pelos pesquisadores maximiza a capacidade de resposta e fechamento de vetores explorados.
Em suma, a campanha Snow é um lembrete de que a combinação de engenharia social, ferramentas personalizadas e abuso de canais legítimos pode converter um pequeno erro humano em um desastre corporativo. A defesa eficaz exige formação contínua, controlos técnicos rigorosos sobre execução e acesso, segmentação de redes e procedimentos de resposta bem ensaiados Para evitar que um “parche” falso se torne a chave-prima do atacante.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...