Snow Flurries, ou « averses de neige ». C’est le nom donné par les équipes de Mandiant à cette campagne cybercriminelle, dont les premiers signes remontent à fin décembre 2025.
Dopée à l’ingénierie sociale et à la manipulation, elle débute par une avalanche de mails reçus par un employé d’une entreprise. Lors de cette phase de mail bombing, la cible reçoit, en quelques minutes, des centaines de messages : newsletters, confirmations d’inscription, alertes automatiques. Aucun lien piégé ni pièce jointe malveillante à ce stade ; le phishing n’intervient que plus tard dans le déroulé de l’attaque. L’objectif est avant tout de désorienter la victime, de saturer son attention et de la rendre réceptive à toute aide extérieure.
Et ça ne rate pas. Les chercheurs de Mandiant expliquent dans leur rapport que, quelques instants plus tard, la cible reçoit systématiquement un message sur Microsoft Teams. L’interlocuteur se présente comme un agent du support informatique ayant repéré le problème et propose de le résoudre immédiatement. Il suffit, assure-t-il, de cliquer sur un lien pour installer un correctif. Épuisée par le chaos de sa boîte mail, la victime obtempère. C’est à ce moment-là que le lien de phishing apparaît, exactement ce qu’attendait le groupe UNC6692.
Une fausse page, un vrai vol
Le lien mène alors vers une interface soignée, baptisée « Mailbox Repair and Sync Utility v2.1.5 ». Celle-ci force d’abord l’ouverture dans le navigateur Microsoft Edge afin de garantir le bon fonctionnement des outils malveillants, puis affiche un bouton « Health Check » qui déclenche une fenêtre de connexion.
Lorsque la victime saisit son mot de passe, le formulaire le rejette une première fois, une manière pour les hackers de renforcer la crédibilité du dispositif et de s’assurer de capturer les bons identifiants. En arrière-plan, ceux-ci sont immédiatement envoyés vers un serveur AWS contrôlé par les attaquants, tandis qu’une barre de progression simule de fausses opérations techniques pour maintenir l’attention.
Pendant que la victime attend la fin de la « réparation », un script s’exécute discrètement et installe SNOWBELT, une extension malveillante de navigateur maintenue active via des tâches planifiées Windows. Par son intermédiaire, deux autres outils sont déployés : SNOWGLAZE, un tunneleur Python qui établit un canal chiffré vers un serveur distant en camouflant son trafic en HTTPS légitime, et SNOWBASIN, un serveur HTTP local capable de recevoir des instructions telles que l’exécution de commandes, la capture d’écran ou l’exfiltration de fichiers.
Les trois modules fonctionnent en pipeline : SNOWBELT reçoit les instructions, SNOWGLAZE les achemine et SNOWBASIN les exécute sur la machine compromise.
Un groupe encore peu connu
La cible initiale ne sert alors que de point d’entrée vers une compromission bien plus large de l’entreprise.
Dans son rapport, Mandiant décrit comment les attaquants explorent ensuite le réseau interne, identifient les serveurs accessibles et se déplacent latéralement jusqu’à atteindre un serveur de sauvegarde. À ce stade, ils extraient la mémoire du processus LSASS, qui contient les mots de passe et les hashes des comptes ayant accédé au système. Ces données sont ensuite exfiltrées pour être analysées hors du réseau, limitant ainsi les risques de détection.
Munis de ces hashes, les attaquants peuvent s’authentifier sur les contrôleurs de domaine via la technique du Pass-the-Hash, sans jamais avoir besoin des mots de passe en clair. Dernière étape, l’extraction complète de la base Active Directory, qui recense l’ensemble des comptes et des droits d’accès de l’organisation.
Le rapport reste avare en informations sur le groupe à l’origine de ces opérations : UNC6692 est un acteur récemment suivi par les équipes de Mandiant. Les chercheurs soulignent toutefois la discrétion de ces attaques et la difficulté à les détecter une fois la compromission amorcée. Tous les outils utilisés sont soit légitimes, Microsoft Teams, Microsoft Edge, les tâches planifiées Windows, soit hébergés sur des infrastructures cloud de confiance comme AWS.
Aucun logiciel exotique, aucun comportement réseau manifestement suspect, une approche que Mandiant qualifie de « living off the cloud », consistant à se fondre dans le trafic normal jusqu’au bout.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !