Die Bedrohungsgruppe UNC6692 setzt bei ihren Angriffen auf eine ausgefeilte Strategie: Nach der initialen E-Mail-Bombardierung erscheint ein vermeintlicher Helpdesk-Mitarbeiter im Teams-Chat. Dieser lockt das Opfer dazu, auf einen Phishing-Link zu klicken, der angeblich einen Patch zur Behebung von Spam-Problemen installiert. Tatsächlich führt der Link zur Installation eines AutoHotkey-Skripts von einem Amazon-S3-Bucket des Angreifers.
Das Skript lädt dann SNOWBELT nach, eine böswillige Chromium-basierte Browser-Erweiterung, die in Microsoft Edge installiert wird. Die kriminelle Infrastruktur präsentiert sich dabei als “Mailbox Repair and Sync Utility v2.1.5” – eine täuschend echte Tarnung. Das System wurde offenbar mit speziellen Gatekeeper-Skripten ausgestattet, die sicherstellen, dass Payloads nur an vorgesehene Ziele gelangen und automatisierte Sicherheits-Sandboxen umgangen werden.
Die SNOW-Malware-Suite besteht aus mehreren hochspezialisierten Komponenten: SNOWBELT fungiert als JavaScript-basiertes Backdoor, das Befehle empfängt. SNOWGLAZE ist ein Python-Tunneler, der verschlüsselte WebSocket-Verbindungen zum Command-and-Control-Server aufbaut. SNOWBASIN schließlich ist ein persistentes Backdoor, das Remote-Code-Execution via cmd.exe oder PowerShell ermöglicht, Screenshots erstellt und Datei-Transfer gestattet. Es läuft als lokaler HTTP-Server auf Ports 8000-8002.
Besonders tückisch ist ein weiteres Element der Kampagne: Die Phishing-Seite blendet ein “Health Check”-Panel ein, das Nutzer auffordert, ihre Mailbox-Anmeldedaten einzugeben – angeblich für Authentifizierungszwecke. Diese Credentials werden jedoch direkt zum Angreifer exfiltriert.
Die Forschungsgruppe ReliaQuest hat parallel beobachtet, dass solche Attacken seit März 2026 zunehmend auf leitende Angestellte abzielen (77% der Vorfälle), um Zugang zu kritischen Unternehmensressourcen zu erlangen. Die Zeitspanne zwischen aufeinanderfolgenden Teams-Nachrichten beträgt teilweise nur 29 Sekunden.
Mandiant warnt vor dem systematischen Missbrauch legitimer Cloud-Dienste: Indem Angreifer ihre Malware auf vertrauenswürdigen Plattformen wie AWS S3 hosten, umgehen sie viele traditionelle Netzwerk-Reputationsfilter. Das hohe Volumen an legitimen Cloud-Traffic bietet perfekte Tarnung.
Parallel offenbarte Cato Networks eine ähnliche Kampagne mit einem trojanischen PhantomBackdoor, der ebenfalls über Teams-basierte Helpdesk-Impersonation verbreitet wird. Sicherheitsexperten empfehlen, Collaboration-Tools als kritische Angriffsflächen zu behandeln und externe Teams-Kontrollen zu verschärfen.