Puntos clave
- El grupo UNC6692 utiliza manipulación psicológica y herramientas legítimas para infiltrarse en empresas
- Los ataques combinan correos masivos, mensajes en Microsoft Teams y páginas falsas alojadas en la nube
- Un malware avanzado permite control total de la red y acceso a datos sensibles
Un nuevo informe publicado por Google encendió una alerta global sobre una campaña de ciberataques altamente estratégica. A diferencia de las intrusiones tradicionales, que explotan vulnerabilidades técnicas, este método apuesta por algo mucho más difícil de corregir: el comportamiento humano. La investigación, realizada por el Google Threat Intelligence Group en conjunto con Mandiant, revela que el grupo identificado como UNC6692 opera desde finales de 2025 con un enfoque silencioso, convincente y extremadamente eficaz.
La táctica principal es simple, pero peligrosa. Los atacantes se hacen pasar por equipos internos de tecnología de la información y contactan directamente a empleados, aprovechando la confianza natural dentro de las organizaciones. En lugar de vulnerar sistemas, convencen a las personas.
La ingeniería social como arma principal
El ataque comienza con una técnica conocida como “bombardeo de spam”. La víctima recibe una gran cantidad de correos en poco tiempo, generando confusión y urgencia. Poco después, aparece un mensaje en Microsoft Teams, aparentemente enviado por un miembro del soporte técnico.
El enfoque está cuidadosamente diseñado. El supuesto técnico ofrece ayuda para resolver el problema del correo y presenta una solución rápida. Este tipo de interacción reduce la desconfianza y aumenta la probabilidad de que la víctima siga las instrucciones sin cuestionarlas.
El siguiente paso es compartir un enlace que promete solucionar el problema. Este enlace dirige a una página de phishing alojada en la infraestructura de Amazon Web Services. El uso de un servicio confiable es clave, ya que dificulta la detección del fraude por sistemas de seguridad y transmite legitimidad al usuario.
Malware invisible y altamente sofisticado
Al acceder al enlace, la víctima descarga archivos aparentemente legítimos. Entre ellos se encuentran un binario y un script disfrazado que activan una cadena de infección compleja. Uno de los componentes principales es SNOWBELT, un malware que funciona como extensión del navegador Microsoft Edge en modo invisible.
Esta herramienta permite a los atacantes monitorear actividades, capturar información y mantener persistencia dentro del sistema sin levantar sospechas. Además, se despliegan otras herramientas como SNOWGLAZE, que crea túneles de comunicación dentro de la red, y SNOWBASIN, que permite ejecutar comandos de forma remota.
Otro elemento crítico es una falsa herramienta de “reparación de correo”, que solicita credenciales bajo el pretexto de autenticación. En realidad, estos datos son robados y enviados directamente a servidores controlados por los atacantes.
Movimiento lateral y control total de la red
Tras el acceso inicial, el grupo UNC6692 actúa con rapidez y alto nivel técnico. Los atacantes comienzan a explorar la red interna, identificando sistemas clave y ampliando su control.
Una de las técnicas más sensibles consiste en extraer información de la memoria del sistema Windows, especialmente del proceso LSASS, donde se almacenan credenciales y hashes de contraseñas. Con estos datos, utilizan el método conocido como “pass-the-hash” para autenticarse en otros sistemas sin necesidad de las contraseñas originales.
Esto les permite alcanzar servidores críticos y eventualmente tomar el control total del dominio corporativo. En esta etapa, pueden acceder a información confidencial, interrumpir operaciones e incluso preparar ataques más amplios, como ransomware.
Los datos muestran que los principales objetivos son empleados de alto nivel. Ejecutivos y directivos representan la mayoría de las víctimas, lo que incrementa significativamente el impacto de cada ataque.
La respuesta de Microsoft y la advertencia para las empresas
Microsoft también se pronunció sobre el caso, aclarando que no se están explotando vulnerabilidades en Microsoft Teams. Según la empresa, los ataques dependen completamente de la interacción del usuario y de la capacidad de los delincuentes para engañar.
Uno de los puntos más críticos es el uso de la comunicación externa entre organizaciones dentro de Teams. Aunque es una función legítima, está siendo utilizada para dar apariencia de autenticidad a los mensajes fraudulentos.
Expertos señalan que el uso de plataformas confiables, como servicios en la nube, hace que la detección sea aún más difícil. El tráfico malicioso se mezcla con el tráfico legítimo, reduciendo la efectividad de los filtros de seguridad tradicionales.
Ante este escenario, la recomendación es clara. Las empresas deben invertir no solo en tecnología, sino también en educación digital. La capacitación constante, la verificación de identidad en solicitudes de soporte y la restricción de comunicaciones externas son medidas clave para reducir riesgos.
Hoy más que nunca, la seguridad ya no depende solo de sistemas, sino también de la atención y preparación de las personas.
