Qu'est-ce que la campagne cybercriminelle Snow et comment fonctionne l'attaque ?

Dans un rapport publié le 23 avril 2026, les chercheurs en cybersécurité de Mandiant ont disséqué les méthodes d’intrusion du groupe de hackers UNC6692. Leur stratégie ? Se positionner d’abord comme élément perturbateur, puis comme sauveur.

Snow Flurries, ou « averses de neige », est le nom donné par les équipes de Mandiant à cette campagne cybercriminelle, dont les premiers signes remontent à fin décembre 2025.

Dopée à l’ingénierie sociale et à la manipulation, cette campagne débute par une avalanche de mails reçus par un employé d’une entreprise. Lors de cette phase de mail bombing, la cible reçoit, en quelques minutes, des centaines de messages : newsletters, confirmations d’inscription, alertes automatiques. Aucun lien piégé ni pièce jointe malveillante à ce stade ; le phishing n’intervient que plus tard dans le déroulé de l’attaque. L’objectif est de désorienter la victime, de saturer son attention et de la rendre réceptive à toute aide extérieure.

Les chercheurs de Mandiant expliquent dans leur rapport que, quelques instants plus tard, la cible reçoit un message sur Microsoft Teams. L’interlocuteur se présente comme un agent du support informatique ayant repéré le problème et propose de le résoudre immédiatement. Il suffit de cliquer sur un lien pour installer un correctif. Épuisée par le chaos de sa boîte mail, la victime obtempère. C’est à ce moment-là que le lien de phishing apparaît, exactement ce qu’attendait le groupe UNC6692.

Une fausse page, un vrai vol

Le lien mène vers une interface soignée, baptisée « Mailbox Repair and Sync Utility v2.1.5 », qui force l’ouverture dans le navigateur Microsoft Edge afin de garantir le bon fonctionnement des outils malveillants. Un bouton « Health Check » déclenche une fenêtre de connexion.

Lorsque la victime saisit son mot de passe, le formulaire le rejette une première fois, renforçant ainsi la crédibilité du dispositif et s’assurant de capturer les bons identifiants. Ces derniers sont immédiatement envoyés vers un serveur AWS contrôlé par les attaquants, tandis qu’une barre de progression simule de fausses opérations techniques pour maintenir l’attention.

Pendant que la victime attend la fin de la « réparation », un script s’exécute discrètement et installe SNOWBELT, une extension malveillante de navigateur maintenue active via des tâches planifiées Windows. Deux autres outils sont alors déployés : SNOWGLAZE, un tunneleur Python qui établit un canal chiffré vers un serveur distant, et SNOWBASIN, un serveur HTTP local capable d’exécuter des instructions telles que la capture d’écran ou l’exfiltration de fichiers.

Les trois modules fonctionnent en pipeline : SNOWBELT reçoit les instructions, SNOWGLAZE les achemine et SNOWBASIN les exécute sur la machine compromise.

Un groupe encore peu connu

La cible initiale ne sert que de point d’entrée vers une compromission bien plus large de l’entreprise. Mandiant décrit comment les attaquants explorent le réseau interne, identifient les serveurs accessibles et se déplacent latéralement jusqu’à atteindre un serveur de sauvegarde. Ils extraient alors la mémoire du processus LSASS, qui contient les mots de passe et les hashes des comptes ayant accédé au système. Ces données sont exfiltrées pour être analysées hors du réseau, limitant ainsi les risques de détection.

Munis de ces hashes, les attaquants peuvent s’authentifier sur les contrôleurs de domaine via la technique du Pass-the-Hash, sans jamais avoir besoin des mots de passe en clair. La dernière étape consiste en l’extraction complète de la base Active Directory, qui recense tous les comptes et les droits d’accès de l’organisation.

Le rapport reste avare en informations sur le groupe à l’origine de ces opérations : UNC6692 est un acteur récemment suivi par les équipes de Mandiant. Les chercheurs soulignent la discrétion de ces attaques et la difficulté à les détecter une fois la compromission amorcée. Tous les outils utilisés sont soit légitimes, comme Microsoft Teams et Microsoft Edge, soit hébergés sur des infrastructures cloud de confiance comme AWS.

Aucun logiciel exotique, aucun comportement réseau suspect, une approche que Mandiant qualifie de « living off the cloud », consistant à se fondre dans le trafic normal.

Source : Mandiant

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *