Snow Flurries: Como UNC6692 Empregou Engenharia Social para Implantar um Conjunto de Malware Personalizado

A UNC6692 executou uma intrusão em fases, começando com pesado spam por e-mail e phishing via Microsoft Teams, atraindo as vítimas a instalar uma falsa "Mailbox Repair Utility". Esta utilidade era entregue através de uma página de destino maliciosa, exclusiva para Edge, que coletava credenciais e deixava loaders baseados em AutoHotKey. A operação instalou a extensão de navegador SNOWBELT, além dos componentes Python SNOWGLAZE e SNOWBASIN, para manter um túnel WebSocket, executar um bindshell local, mover-se lateralmente com PsExec e RDP, e exfiltrar dados através de infraestrutura C2 hospedada em S3 e Heroku. Todas essas ações foram mapeadas para IOCs concretos e técnicas ATT&CK, fornecendo informações valiosas para defensores.