🔍 Contexte

Publié le 23 avril 2026 par Mandiant / Google Threat Intelligence Group (GTIG), cet article documente une campagne d’intrusion multistade attribuée à un nouveau groupe de menace, UNC6692, détectée fin décembre 2025.

🎯 Vecteur initial et chaîne d’infection

L’attaque débute par une campagne d’emails massifs destinée à saturer la boîte de réception de la victime, créant un sentiment d’urgence. L’attaquant contacte ensuite la victime via Microsoft Teams, en se faisant passer pour un employé du helpdesk IT, et l’incite à cliquer sur un lien de « patch anti-spam ».

Le lien redirige vers une page HTML hébergée sur un bucket AWS S3 contrôlé par l’attaquant, qui télécharge :

  • Un binaire AutoHotKey renommé
  • Un script AutoHotKey associé

L’exécution automatique du script installe SNOWBELT, une extension malveillante pour navigateur Chromium.

🧩 L’écosystème SNOW

SNOWBELT (extension navigateur JavaScript) :

  • Masquée sous les noms « MS Heartbeat » ou « System Heartbeat »
  • Persistance via le dossier Startup Windows, tâches planifiées, et Microsoft Edge en mode headless
  • Utilise un DGA basé sur le temps avec une seed codée en dur pour calculer les URLs C2 sur S3
  • Chiffrement AES-GCM pour les communications
  • Clé VAPID codée en dur pour les Push Notifications (canal C2 asynchrone)
  • Relaie les commandes vers SNOWBASIN via HTTP POST sur localhost:8000

SNOWGLAZE (tunneleur Python) :

  • Crée un tunnel WebSocket sécurisé vers un C2 Heroku
  • Supporte Windows et Linux
  • Masque le trafic avec un User-Agent Microsoft Edge
  • Implémente un proxy SOCKS pour router du trafic TCP arbitraire
  • Données encodées en Base64 dans des objets JSON

SNOWBASIN (backdoor Python) :

  • Serveur HTTP local sur les ports 8000, 8001 ou 8002
  • Endpoints : /stream (shell), /buffer (exfiltration fichiers), /capture (screenshots), /commit (téléchargement), /gc (auto-terminaison)
  • Exécution de commandes via cmd.exe ou powershell.exe

🔄 Mouvement latéral et escalade de privilèges

  1. Scan réseau (ports 135, 445, 3389) via script Python
  2. Session PsExec via le tunnel SNOWGLAZE vers le système victime
  3. Session RDP vers un serveur de sauvegarde via le tunnel SNOWGLAZE
  4. Dump LSASS via le Gestionnaire des tâches Windows
  5. Exfiltration du dump via LimeWire
  6. Pass-The-Hash pour accéder aux contrôleurs de domaine
  7. Extraction de NTDS.dit, SAM, SYSTEM, SECURITY via FTK Imager
  8. Exfiltration finale via LimeWire
  9. Captures d’écran sur les contrôleurs de domaine

🌐 Page de phishing (4 phases)

  • Phase 1 : Vérification de l’environnement (paramètre ?email=, forçage vers Microsoft Edge)
  • Phase 2 : Récolte de credentials via faux panneau « Mailbox Repair Utility » avec double-entrée psychologique
  • Phase 3 : Exfiltration des credentials vers un bucket S3 attaquant, masquée par une barre de progression factice
  • Phase 4 : Livraison des payloads secondaires (AutoHotKey, SNOWBELT, configuration)

📌 Type d’article

Analyse technique détaillée publiée par Mandiant/GTIG, visant à documenter les TTPs, l’écosystème malware et les IOCs d’UNC6692 pour permettre la détection et la chasse aux menaces.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • UNC6692 (unknown) —

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1053.005 — Scheduled Task (Execution)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
  • T1059.006 — Command and Scripting Interpreter: Python (Execution)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1059.010 — Command and Scripting Interpreter: AutoHotKey & AutoIT (Execution)
  • T1204.001 — User Execution: Malicious Link (Execution)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1176.001 — Browser Extensions (Execution)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
  • T1547.009 — Boot or Logon Autostart Execution: Shortcut Modification (Persistence)
  • T1543.003 — Create or Modify System Process: Windows Service (Persistence)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1036.005 — Masquerading: Match Legitimate Resource Name or Location (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1202 — Indirect Command Execution (Defense Evasion)
  • T1564.001 — Hide Artifacts: Hidden Files and Directories (Defense Evasion)
  • T1622 — Debugger Evasion (Defense Evasion)
  • T1003.001 — OS Credential Dumping: LSASS Memory (Credential Access)
  • T1003.002 — OS Credential Dumping: Security Account Manager (Credential Access)
  • T1003.003 — OS Credential Dumping: NTDS (Credential Access)
  • T1046 — Network Service Discovery (Discovery)
  • T1018 — Remote System Discovery (Discovery)
  • T1057 — Process Discovery (Discovery)
  • T1082 — System Information Discovery (Discovery)
  • T1087.001 — Account Discovery: Local Account (Discovery)
  • T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
  • T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)
  • T1113 — Screen Capture (Collection)
  • T1005 — Data from Local System (Collection)
  • T1074 — Data Staged (Collection)
  • T1560 — Archive Collected Data (Collection)
  • T1567.002 — Exfiltration Over Web Service: Exfiltration to Cloud Storage (Exfiltration)
  • T1020 — Automated Exfiltration (Exfiltration)
  • T1572 — Protocol Tunneling (Command and Control)
  • T1090 — Proxy (Command and Control)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1608.002 — Stage Capabilities: Upload Tool (Resource Development)
  • T1608.005 — Stage Capabilities: Link Target (Resource Development)

IOC

  • Domaines : service-page-25144-30466-outlook.s3.us-west-2.amazonaws.comVT · URLhaus · ThreatFox
  • Domaines : cloudfront-021.s3.us-west-2.amazonaws.comVT · URLhaus · ThreatFox
  • Domaines : sad4w7h913-b4a57f9c36eb.herokuapp.comVT · URLhaus · ThreatFox
  • Domaines : service-page-11369-28315-outlook.s3.us-west-2.amazonaws.comVT · URLhaus · ThreatFox
  • Domaines : service-page-18968-2419-outlook.s3.us-west-2.amazonaws.comVT · URLhaus · ThreatFox
  • URLs : https://service-page-25144-30466-outlook.s3.us-west-2.amazonaws.com/update.htmlURLhaus
  • URLs : wss://sad4w7h913-b4a57f9c36eb.herokuapp.com:443/wsURLhaus
  • SHA256 : 2fa987b9ed6ec6d09c7451abVT · MalwareBazaar
  • SHA256 : c8940de8cb917abe158a826aVT · MalwareBazaar
  • SHA256 : 7f1d71e1e079f3244a692055VT · MalwareBazaar
  • SHA256 : ca390b86793922555c84abc3VT · MalwareBazaar
  • SHA256 : 6e6dab993f99505646051d27VT · MalwareBazaar
  • SHA256 : de200b79ad2bd9db37baeba5VT · MalwareBazaar
  • SHA256 : 691f7258f212fa8908a8bf06bcf9e027d2177276e13e10ff56bd434ff3755cc4VT · MalwareBazaar
  • Fichiers : Protected.ahk
  • Fichiers : profileB5.txt
  • Fichiers : RegSrvc.exe
  • Fichiers : background.js
  • Fichiers : dream.js
  • Fichiers : dream.html
  • Fichiers : helper.html
  • Chemins : C:\ProgramData\log
  • Chemins : C:\Users\<user>\AppData\Local\Microsoft\Edge\ExtensionData\SysEvents\background.js
  • Chemins : C:\Users\<user>\AppData\Local\Microsoft\Edge\ExtensionData\SysEvents\dream.js
  • Chemins : C:\Users\<user>\AppData\Local\Microsoft\Edge\ExtensionData\SysEvents\dream.html
  • Chemins : C:\Users\<user>\AppData\Local\Microsoft\Edge\ExtensionData\SysEvents\helper.html

Malware / Outils

  • SNOWBELT (backdoor)
  • SNOWGLAZE (tool)
  • SNOWBASIN (backdoor)
  • AutoHotKey (other)
  • PsExec (tool)
  • FTK Imager (tool)
  • LimeWire (tool)

🟢 Indice de vérification factuelle : 95/100 (haute)

  • ✅ cloud.google.com — source reconnue (liste interne) (20pts)
  • ✅ 29335 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 26 IOCs dont des hashes (15pts)
  • ✅ 3/8 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 41 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : UNC6692 (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • service-page-25144-30466-outlook.s3.us-west-2.amazonaws.com (domain) → VT (4/94 détections)
  • cloudfront-021.s3.us-west-2.amazonaws.com (domain) → VT (13/94 détections) + ThreatFox (Unknown malware)
  • sad4w7h913-b4a57f9c36eb.herokuapp.com (domain) → VT (8/94 détections)

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/unc6692-social-engineering-custom-malware/?utm_source=substack&utm_medium=email&hl=en