Investigaciones de Microsoft y Google revelan campañas de ingeniería social que utilizan Microsoft Teams, bombardeo de correos y herramientas falsas de soporte técnico para engañar a usuarios, ejecutar malware como Snow y facilitar la exfiltración de datos en entornos corporativos.
Recientes reportes de seguridad de Mandiant (Google) y Microsoft Defender Security Research Team coinciden en un aumento sostenido de ataques que utilizan plataformas empresariales como Microsoft Teams para ejecutar campañas de ingeniería social dirigidas. Según el análisis publicado por Microsoft, los atacantes están utilizando técnicas de suplantación de mesas de ayuda (helpdesk) para engañar a empleados y obtener acceso inicial a redes corporativas, en lo que describe como un “manual de intrusión operado por humanos”.
De acuerdo a los investigadores, estas campañas no dependen únicamente del engaño inicial, sino que combinan múltiples técnicas. Investigaciones citadas por medios especializados indican que los atacantes realizan bombardeos de correos electrónicos (email bombing) para saturar a las víctimas y luego contactarlas a través de Microsoft Teams haciéndose pasar por personal de soporte técnico. Este enfoque busca generar urgencia y credibilidad para que el usuario acepte asistencia remota o ejecute archivos maliciosos.
En Google, a través de su equipo de inteligencia de amenazas de Mandiant, identificaron que el actor de amenaza corresponde al grupo UNC6692, el cual emplea ingeniería social avanzada junto con malware personalizado en sus campañas. La compañía advirtió que este grupo combina interacción directa con víctimas y herramientas desarrolladas específicamente para mantener persistencia y extraer información sensible desde los sistemas comprometidos.
Uno de los elementos clave observados en estas campañas es el uso de utilidades falsas. Reportes indican que los atacantes distribuyen supuestas herramientas de “reparación de buzón” o soporte técnico, que en realidad funcionan como puertas de entrada para malware. En algunos casos, estas herramientas están diseñadas para parecer legítimas y alinearse con procesos internos de TI, aumentando la probabilidad de éxito del engaño.
Además, se identificó el despliegue de un malware denominado como “Snow”, utilizado tras el acceso inicial para facilitar el control del sistema afectado. Este malware permite a los atacantes ejecutar comandos, moverse lateralmente dentro de la red y preparar la exfiltración de datos. Según reportes, este tipo de intrusión no es automatizada, sino que implica intervención directa de operadores humanos durante distintas fases del ataque.
El uso de Microsoft Teams como vector de ataque responde a su adopción masiva en entornos corporativos. Los atacantes aprovechan la confianza inherente en estas plataformas para evitar levantar sospechas. Investigaciones citadas destacan que el abuso de herramientas legítimas reduce la necesidad de explotar vulnerabilidades técnicas, trasladando el foco hacia la manipulación de usuarios.
Microsoft advierte que estas campañas incluyen movimientos posteriores al acceso inicial, como escalamiento de privilegios y exfiltración de datos entre distintos entornos (cross-tenant). En ese contexto, la compañía subraya que los atacantes buscan expandir su alcance más allá de una sola organización comprometida.
Por su parte, desde Mandiant enfatizaron la necesidad de reforza la idea de que estas operaciones dependen fuertemente de la interacción humana, señalando que los atacantes “usan ingeniería social para convencer a las víctimas de ejecutar acciones específicas”.