Campagne cybercriminelle « Snow » : une analyse détaillée des méthodes d'intrusion du groupe de hackers UNC6692

Une récente campagne cybercriminelle nommée 'Snow' menée par le groupe de hackers UNC6692 a été décortiquée par les chercheurs en cybersécurité de Mandiant, selon Numerama. Cette opération, démarrée fin décembre 2025, se base sur l'ingénierie sociale pour piéger les victimes. Les hackers inondent d'abord les cibles de centaines de mails anodins afin de les désorienter. En se faisant passer pour des agents de support sur Microsoft Teams, ils incitent les victimes à installer des programmes malveillants sophistiqués. Les outils utilisés exploitent des infrastructures légitimes comme AWS et Microsoft, rendant leur détection complexe.

Analyse de la campagne 'Snow' par Mandiant

La campagne 'Snow' s'appuie sur une stratégie d'ingénierie sociale et de manipulation. Les victimes reçoivent une avalanche de mails anodins, suivis d'un message sur Microsoft Teams se faisant passer pour un agent de support. Une fois la victime réceptive, un lien de phishing est présenté, menant vers une interface soignée pour inciter au téléchargement d'un prétendu correctif. Ce lien récupère les identifiants des victimes et installe des programmes malveillants, dont une extension de navigateur, un tunneleur Python et un serveur HTTP local.

Propagation et compromission

Les hackers utilisent cette première victime comme point d'entrée pour infiltrer le réseau de l'entreprise. Ils explorent les serveurs accessibles, extraient les mots de passe et les hashes des comptes, puis exfiltrent ces données pour une analyse externe. Grâce à ces informations, ils peuvent accéder aux contrôleurs de domaine via la technique du 'Pass-the-Hash' et extraire la base Active Directory, recensant tous les comptes et droits d'accès de l'organisation.