El equipo de investigadores de Mandiant publicó una investigación en la que señalan que alrededor de 165 organizaciones se habrían visto afectadas por una campaña perpetrada por el actor amenaza UNC5537 contra sistemas de almacenamiento en la nube Snowflake. Según los expertos, dicho actor malicioso habría comprometido cientos de instancias de Snowflake utilizando credenciales de clientes robadas mediante malware como Lumma, Meta, Racoon Stealer, Redline, Risepro y Vidar. Posteriormente, UNC5537 se habría dirigido contra cuentas que no contaban con las protecciones de doble factor de autenticación para acceder a los entornos de las víctimas.
Mandiant señala que no ha encontrado ninguna evidencia que sugiera que el acceso no autorizado a las cuentas de los clientes de Snowflake surgiera de un compromiso en la compañía Snowflake. Asimismo, estos señalan que los ataques comenzaron el pasado 14 de abril, momento en el que el actor comenzó a acceder a instancias ejecutando repetidamente comandos SQL para realizar reconocimientos y organizar y exfiltrar datos.