UNC6692 Gunakan Microsoft Teams untuk Serang Karyawan Senior dengan Malware SNOW

Kelompok ancaman siber baru yang dikenal sebagai UNC6692 telah diketahui menggunakan taktik rekayasa sosial lewat platform Microsoft Teams untuk menyebarkan malware khusus pada perangkat korban. Metode ini menargetkan karyawan senior dengan memanfaatkan impersonasi sebagai staf IT helpdesk guna meyakinkan korban agar membuka pintu bagi serangan digital.

Modus Operandi UNC6692 Melalui Microsoft Teams

Menurut laporan dari Mandiant, anak perusahaan Google, UNC6692 menjalankan kampanye email besar-besaran yang membanjiri kotak masuk target dengan spam berlebihan, menciptakan kesan darurat palsu. Setelah itu, pelaku menyapa korban lewat pesan Teams yang diklaim berasal dari tim IT untuk menawarkan bantuan menyelesaikan gangguan email tersebut.

"Seperti banyak serangan siber baru-baru ini, UNC6692 sangat mengandalkan penyamaran sebagai pegawai helpdesk IT, meyakinkan korban menerima undangan chat dari akun di luar organisasi mereka," ujar Mandiant dalam laporannya.

Taktik ini sejatinya telah dipakai oleh kelompok Black Basta sebelum menghentikan operasi ransomware mereka tahun lalu. Namun, metode yang mengombinasikan banjir email dan impersonasi helpdesk lewat Teams tetap aktif dan efektif digunakan oleh pelaku lain.

Target dan Teknik Serangan

Penelitian terbaru oleh ReliaQuest mengungkap bahwa 77% serangan yang teridentifikasi pada periode 1 Maret hingga 1 April 2026 menargetkan karyawan senior, naik dari 59% pada dua bulan sebelumnya. Tujuan utama mereka adalah mengakses jaringan perusahaan untuk pencurian data, pergerakan lateral, hingga potensi serangan ransomware.

• Pelaku mengirim chat lewat Teams yang mengarahkan korban untuk mengklik link phishing berjudul "Mailbox Repair and Sync Utility v2.1.5".
• Link ini mengunduh skrip AutoHotkey dari AWS S3 yang dikontrol pelaku, menjalankan malware SNOWBELT, ekstensi browser berbahaya untuk Microsoft Edge.
• Malware ini melakukan pengintaian awal dan membuka pintu belakang untuk memasang komponen lain seperti SNOWGLAZE dan SNOWBASIN.

Malware SNOW merupakan rangkaian modular yang saling terhubung, memfasilitasi eksekusi perintah jarak jauh, pengambilan screenshot, upload dan download file, serta penghapusan diri. SNOWGLAZE berfungsi sebagai tunneler aman antara jaringan korban dan server pengendali pelaku, sedangkan SNOWBASIN memberikan akses backdoor yang persisten.

Proses Eksploitasi dan Dampak Pasca-Serangan

Setelah berhasil masuk, UNC6692 menggunakan berbagai teknik untuk memperluas akses dan menguasai jaringan, antara lain:

1. Memindai port penting (135, 445, 3389) dengan skrip Python untuk pergerakan lateral.
2. Menggunakan PsExec dan sesi RDP melalui terowongan SNOWGLAZE ke server cadangan.
3. Meningkatkan hak akses melalui ekstraksi memori proses LSASS menggunakan Task Manager.
4. Melaksanakan teknik Pass-The-Hash untuk mengakses domain controller dan mengunduh data sensitif Active Directory menggunakan FTK Imager.
5. Mengeksfiltrasi data melalui alat pengunggah LimeWire ke server pelaku.

Menurut Mandiant, penggunaan layanan cloud legal oleh pelaku sebagai sarana distribusi malware dan komunikasi C2 menjadi strategi utama agar dapat menghindari deteksi dan menyamar di tengah lalu lintas cloud yang sah.

Kasus Serupa dan Rekomendasi Keamanan

Selain UNC6692, Cato Networks juga melaporkan kampanye phishing suara yang menggunakan impersonasi helpdesk lewat Microsoft Teams. Pelaku mengarahkan korban menjalankan PowerShell berisi trojan PhantomBackdoor yang menggunakan WebSocket.

"Kasus ini menunjukkan bagaimana impersonasi helpdesk lewat Teams bisa menggantikan phishing tradisional, dengan hasil eksekusi PowerShell dan backdoor WebSocket yang sama," kata perusahaan keamanan tersebut.

Para pakar menyarankan perusahaan untuk memperlakukan alat kolaborasi seperti Teams sebagai permukaan serangan utama dengan menerapkan:

• Prosedur verifikasi helpdesk yang ketat.
• Kontrol akses eksternal dan pembatasan fitur berbagi layar.
• Penguatan keamanan dan pengawasan eksekusi PowerShell.

Analisis Redaksi

Menurut pandangan redaksi, serangan UNC6692 ini mengindikasikan evolusi signifikan dalam metode serangan siber yang memanfaatkan kepercayaan pengguna terhadap platform kolaborasi populer. Dengan memadukan spam email dan impersonasi helpdesk di Microsoft Teams, pelaku mendapatkan akses dengan cara yang sangat persuasif dan sulit dideteksi.

Hal ini menandai tantangan baru bagi organisasi yang selama ini fokus pada pertahanan email dan endpoint, namun mengabaikan risiko di ekosistem komunikasi internal. Keberadaan malware modular seperti SNOW yang menyusup lewat ekstensi browser dan skrip otomatisasi menunjukkan bahwa serangan semakin terintegrasi dan canggih.

Ke depan, perusahaan harus meningkatkan pelatihan kesadaran keamanan karyawan, khususnya bagi jajaran manajemen senior yang menjadi sasaran utama. Pengawasan lebih ketat terhadap aktivitas di platform seperti Teams serta penerapan multifaktor autentikasi dan segmentasi jaringan menjadi kunci untuk meminimalisir risiko kerugian besar akibat serangan seperti ini.

Bagi pembaca yang ingin memahami lebih dalam tentang dinamika serangan siber terkini, tetap ikuti perkembangan terbaru dan praktik terbaik keamanan TI melalui sumber terpercaya. Informasi lengkap asli artikel ini dapat diakses melalui The Hacker News dan pembaruan dari Cato Networks.