UNC6692: nuova minaccia Teams colpisce decisori aziendali

Il cluster UNC6692 usa email bombing e impersonazione helpdesk su Teams per distribuire la suite malware SNOW. Il 77% dei target sono dipendenti senior. Ecco c…

Contenuto

UNC6692: nuova minaccia Teams colpisce decisori aziendali

Scopri anche

UNC6692: nuova minaccia Teams colpisce decisori aziendali

Quanto è affidabile una richiesta di supporto IT che arriva su Microsoft Teams subito dopo che la tua casella email è stata sommersa da centinaia di messaggi? Questa è la domanda che le aziende devono porsi di fronte alla campagna UNC6692, un cluster di minacce precedentemente non documentato che combina tecniche di social engineering avanzate con una suite malware modulare personalizzata. Le rivelazioni, emerse il 23 aprile 2026, mostrano un incremento significativo degli attacchi verso dipendenti di livello senior.

Cos'è UNC6692 e come opera la campagna

UNC6692 rappresenta un cluster di attività malevola identificato per la prima volta nei report pubblicati il 23 aprile 2026. Si tratta di un attore che ha sviluppato un approccio articolato per infiltrarsi nelle organizzazioni, sfruttando la fiducia intrinseca dei dipendenti verso gli strumenti di comunicazione aziendale. La campagna è attiva almeno dal primo trimestre 2026 e si distingue per l'uso coordinato di email bombing e impersonazione via Microsoft Teams.

Tale denominazione "UNC" (Unclassified) indica che non è stato ancora attribuito questa attività a un gruppo threat actor noto. La suite malware utilizzata prende il nome di "SNOW", con componenti denominati SNOWBELT, SNOWGLAZE e SNOWBASIN, a formare un ecosistema modulare progettato per accesso persistente, ricognizione interna ed esfiltrazione dati.

Email bombing e impersonazione helpdesk: il vettore iniziale

L'attacco si apre con una fase di email bombing mirata a sommergere la casella postale della vittima. Questo crea un falso senso di urgenza e disorientamento nel destinatario. Successivamente, l'attaccante avvia una chat su Microsoft Teams spacciandosi per un dipendente del supporto IT, proveniente da un account esterno all'organizzazione target.

I tempi di esecuzione sono estremamente rapidi: in alcuni casi osservati, le chat Teams sono state avviate a soli 29 secondi di distanza tra l'inizio dell'email bombing e il contatto diretto con la vittima. Questa sincronizzazione suggerisce un processo parzialmente automatizzato o quantomeno un coordinamento operativo preciso da parte degli aggressori.

Nello specifico, la pagina di phishing utilizzata nella campagna è denominata "Mailbox Repair and Sync Utility v2.1.5" e presenta un pulsante "Health Check" che richiede le credenziali della casella postale. Una volta inserite, le credenziali vengono esfiltrate verso un bucket Amazon S3 controllato dall'attaccante. Come evidenziato dalle analisi, uno script gatekeeper garantisce che il payload venga consegnato solo ai target previsti evitando i sandbox di sicurezza automatizzati.

La suite malware SNOW: architettura modulare

Dopo la fase iniziale di compromissione, UNC6692 distribuisce un payload che scarica uno script AutoHotkey da un bucket AWS S3 sotto il controllo dell'attaccante. Da qui si attiva la catena di infezione che porta all'installazione della suite malware SNOW.

Il componente SNOWBELT è un'estensione browser malevola progettata per browser Chromium-based. Viene installata su Microsoft Edge in modalità headless tramite lo switch --load-extension, permettendo l'esecuzione silenziosa senza interfaccia grafica visibile all'utente. Questa tecnica consente all'estensione di operare in background intercettando sessioni e rubando dati sensibili.

SNOWGLAZE è un tunneler WebSocket basato su Python che funge da proxy SOCKS, permettendo all'attaccante di stabilire canali di comunicazione persistenti verso l'infrastruttura di comando e controllo. SNOWBASIN completa il quadro come backdoor HTTP locale, sempre basata su Python, che fornisce accesso remoto al sistema compromesso.

Sfruttando servizi cloud legittimi per l'hosting dei payload e le comunicazioni C2, gli aggressori aumentano la difficoltà di rilevamento: secondo i report, UNC6692 ha abusato di AWS S3, CloudFront e Heroku per distribuire malware e gestire le comunicazioni con i server di controllo.

Persistenza, ricognizione e movimento laterale

Per garantire la permanenza all'interno dei sistemi compromessi, UNC6692 utilizza scheduled task e inserimento di payload nella cartella Startup di Windows. Questi meccanismi assicurano che il malware venga rieseguito automaticamente a ogni riavvio del sistema.

Durante la fase di ricognizione interna, il malware esegue port scan sulle porte 135, 445 e 3389, rispettivamente utilizzate per RPC, SMB e RDP. Questa mappatura della rete interna permette all'attaccante di identificare obiettivi aggiuntivi e valutare le vie di movimento laterale.

Il movimento laterale viene eseguito tramite PsExec e Remote Desktop Protocol (RDP) attraverso il tunnel SNOWGLAZE. Questa combinazione consente all'aggressore di spostarsi tra i sistemi della rete mantenendo un canale cifrato e difficile da intercettare. L'estrazione della memoria del processo LSASS e degli artefatti Active Directory (NTDS.dit, SAM, SYSTEM) avviene successivamente, con esfiltrazione dei dati tramite LimeWire verso storage remoti.

Targetizzazione dei dipendenti senior: un trend in crescita

Un dato significativo emerso dall'analisi riguarda la selezione dei bersagli: dal 1 marzo al 1 aprile 2026, il 77% degli incidenti osservati ha preso di mira dipendenti di livello senior, in aumento dal 59% dei primi due mesi dell'anno. Questo incremento indica una strategia deliberata nel colpire i decisori aziendali, probabilmente perché detentori di accessi privilegiati e informazioni più sensibili.

I dipendenti senior rappresentano obiettivi ad alto valore per gli attaccanti: hanno accesso a dati strategici, possono autorizzare transazioni finanziarie e spesso dispongono di privilegi amministrativi. La convergenza di questi fattori li rende target ideali per campagne di spionaggio aziendale o ransomware.

Il playbook Black Basta che sopravvive al gruppo

L'impiego di email bombing seguito da impersonazione helpdesk su Teams non è una novità assoluta nel panorama delle minacce. È stata a lungo adottata dagli ex affiliati del gruppo ransomware Black Basta. Secondo le fonti, Black Basta ha cessato le operazioni ransomware all'inizio del 2025, ma il playbook operativo continua a essere utilizzato da altri attori.

Le analisi osservano che questa attività dimostra come le tattiche più efficaci di un gruppo di minacce possano sopravvivere a lungo allo scioglimento del gruppo stesso. La sopravvivenza delle tattiche oltre lo scioglimento del gruppo originario rappresenta un fenomeno significativo: le tecniche più efficaci vengono standardizzate, documentate e riutilizzate da nuovi attori, creando un "playbook ereditario" che persiste nell'ecosistema delle minacce.

Questo implica che le difese aziendali devono concentrarsi non solo sull'identificazione dei gruppi specifici, ma sulla mitigazione delle tattiche e delle catene di attacco, indipendentemente da chi le esegue. La modularità della suite SNOW e l'uso di infrastrutture cloud legittime rendono questo approccio particolarmente difficile da contrastare con metodi tradizionali.

Implicazioni per la sicurezza aziendale

Nello scenario attuale, la campagna UNC6692 evidenzia la crescente sofisticazione del social engineering enterprise. La combinazione di tecniche di pressione psicologica (email bombing per creare urgenza) con l'abuso di canali di comunicazione legittimi (Microsoft Teams) sfrutta la fiducia naturale dei dipendenti verso gli strumenti aziendali.

Le organizzazioni dovrebbero implementare verifiche di identità più rigorose per le comunicazioni di supporto IT, specialmente quando provengono da account esterni. La segmentazione della rete e la limitazione dei canali di comunicazione in uscita verso servizi cloud non autorizzati possono ridurre il rischio di esfiltrazione. Infine, il monitoraggio degli accessi alle porte 135, 445 e 3389 dall'interno della rete può aiutare a identificare fasi di ricognizione in corso.

Domande frequenti

Cos'è UNC6692?
UNC6692 è un cluster di minacce precedentemente non documentato che utilizza social engineering via Microsoft Teams combinato con email bombing per distribuire malware personalizzato. È stato identificato nelle analisi pubblicate nell'aprile 2026.
Come funziona l'attacco via Teams di UNC6692?
L'attacco inizia con email bombing per sommergere la casella della vittima, seguita da una chat Teams in cui l'attaccante impersona il supporto IT. Viene fornita una pagina phishing chiamata "Mailbox Repair and Sync Utility v2.1.5" che ruba le credenziali.
Quali componenti ha la suite malware SNOW?
La suite SNOW include SNOWBELT (estensione browser malevola per Edge), SNOWGLAZE (tunneler WebSocket proxy SOCKS) e SNOWBASIN (backdoor HTTP locale), tutti basati su script Python e AutoHotkey.
Chi è il target principale di UNC6692?
Secondo i dati, il 77% degli incidenti osservati tra marzo e aprile 2026 ha preso di mira dipendenti di livello senior, un incremento dal 59% dei primi due mesi dell'anno.
UNC6692 è collegato a Black Basta?
Le tattiche utilizzate (email bombing e impersonazione helpdesk su Teams) sono state usate dagli ex affiliati Black Basta. Sebbene Black Basta abbia cessato le operazioni nel 2025, il playbook continua a essere utilizzato da nuovi attori.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Per approfondire

Fonti

Link utili

Apri l'articolo su DeafNews