Mandiant détaille « Snow Flurries », une vaste campagne de compromission d’entreprises

Mandiant a publié, le 23 avril 2026, un rapport sur « Snow Flurries », une campagne de compromission d’entreprises par ingénierie sociale, menée par un nouvel acteur, UNC6692, et lancée en décembre 2025. L’attaque débute par une vaste opération de mail bombing : en quelques minutes, un employé de l’organisation ciblée reçoit des centaines de messages, qui saturent sa boîte mail.

Quelques instants plus tard, les cybercriminels lui envoient une invitation sur Microsoft Teams, en se faisant passer pour un agent du support informatique chargé de résoudre le problème. L’employé est alors invité à cliquer sur un lien qui installe discrètement une extension malveillante de navigateur, inscrite dans les tâches planifiées de Windows.

Elle permet de déployer un premier outil autorisant l’exécution de commandes, la capture d’écran et l’exfiltration de fichiers, ainsi qu’un second destiné à créer un canal chiffré pour extraire les données. Les attaquants peuvent ensuite se déplacer latéralement et accéder à l’ensemble des SI de l’entreprise, notamment aux serveurs de sauvegarde afin de récupérer toutes les authentifications dont ils auraient besoin.

Snow Flurries se distingue par l’utilisation d’outils légitimes ou hébergés sur des infrastructures cloud de confiance, ce qui rend l’intrusion particulièrement difficile à détecter. Mandiant ne donne aucun détail sur l’origine et les motivations d’UNC6692.