Investigadores revelan cómo los atacantes engañan a empleados con una falsa utilidad de reparación de correo y roban accesos críticos.
Una campaña sofisticada de ingeniería social ha sido identificada por investigadores de ReliaQuest, quienes atribuyen la actividad al grupo de amenazas UNC6692. El ataque, comienza con el envío masivo de correos spam diseñados para saturar y confundir a la víctima, seguido por un contacto directo a través de Microsoft Teams, donde los atacantes se hacen pasar por personal legítimo de soporte IT. Durante la interacción, persuaden a los usuarios para ejecutar una supuesta herramienta de solución llamada “Mailbox Repair Utility”, la cual, en realidad, es un vector malicioso que facilita el acceso inicial al sistema comprometido.
Según el análisis técnico, la carga maliciosa despliega múltiples herramientas asociadas a la cadena de ataque, incluyendo scripts automatizados y componentes como AutoHotKey, además de utilidades identificadas como Snowbelt, Snowglaze y Snowbasin. Estas, permiten a los atacantes escalar privilegios, moverse lateralmente dentro de la red y extraer credenciales sensibles, afectando infraestructuras críticas como Active Directory. La combinación de herramientas legítimas y técnicas de evasión convierte esta campaña en una amenaza especialmente peligrosa para entornos corporativos, ya que dificulta su detección y facilita la persistencia dentro del sistema comprometido.
Fuente
https://www.helpnetsecurity.com/2026/04/27/attackers-use-ms-teams-fake-mailbox-repair-utility/