Pesquisadores da Mandiant, vinculada ao Google Threat Intelligence Group, identificaram uma campanha de roubo de dados conduzida pelo grupo UNC6692.
A atividade foi rastreada até o final de dezembro de 2025 e envolve o uso de engenharia social combinado com um conjunto modular de ferramentas maliciosas conhecido como ecossistema SNOW.
O objetivo da operação é o acesso a redes corporativas e a extração de credenciais e dados internos.
Uso do Microsoft Teams como vetor inicial
O ataque começa com o envio massivo de e mails, técnica conhecida como email bombing, que gera sobrecarga e confusão na caixa de entrada da vítima.
Durante esse cenário, o invasor entra em contato via Microsoft Teams, se passando por suporte técnico. A mensagem inclui um link que supostamente resolveria o problema de spam.
O link direciona para uma página falsa que simula uma ferramenta de reparo de e mail. As credenciais inseridas são capturadas. Durante a interação, um arquivo baseado em AutoHotkey é baixado, iniciando a execução do código malicioso no sistema.
Ferramentas utilizadas no ataque
Após o acesso inicial, os atacantes utilizam o conjunto SNOW. O componente SNOWBELT atua como extensão de navegador e mantém comunicação com os operadores.
O SNOWGLAZE estabelece um túnel de comunicação baseado em Python para conexão com servidores externos. Já o SNOWBASIN funciona como backdoor, permitindo execução remota de comandos por meio de PowerShell ou cmd.
Essas ferramentas possibilitam controle do sistema, coleta de informações e preparação para etapas posteriores do ataque.
Movimento lateral dentro da rede
Com o ambiente comprometido, os invasores realizam reconhecimento interno por meio de scripts que analisam portas associadas a compartilhamento de arquivos e acesso remoto.
O foco é alcançar sistemas críticos. Durante essa fase, o processo LSASS é utilizado como fonte de extração de credenciais, incluindo senhas e hashes armazenados na memória.
A técnica Pass The Hash é aplicada para autenticação em outros sistemas, permitindo movimentação lateral até servidores centrais.
Acesso a controladores de domínio e extração de dados
Após atingir servidores de controle de domínio, os atacantes utilizam ferramentas como FTK Imager para acessar dados armazenados localmente.
Entre os alvos estão o banco de dados NTDS.dit, responsável pelas informações do Active Directory, além de arquivos de registro como SAM, SYSTEM e SECURITY.
Os dados coletados são posteriormente exfiltrados por meio de ferramentas de transferência.
De acordo com os pesquisadores, a campanha utiliza serviços legítimos e canais corporativos para reduzir suspeitas e manter o tráfego dentro de padrões comuns de operação.
A atividade permanece relevante devido ao uso combinado de engenharia social, ferramentas modulares e técnicas conhecidas de movimentação lateral dentro de redes corporativas.
