Cybersicherheitsforscher von **Google Mandiant** und der **Google Threat Intelligence Group (GTIG)** haben Details zu einer weit verbreiteten Kampagne für Datendiebstahl und Erpressung enthüllt. Diese Operation, die zwischen Januar und Mai 2026 aktiv war, hat zahlreiche Organisationen in den Sektoren professionelle Dienstleistungen, Recht und Finanzen in den USA ins Visier genommen. Die Aktivitäten werden **UNC3753** zugeschrieben, einem Akteur, der auch als **Chatty Spider**, **Luna Moth** und **Silent Ransom Group (SRG)** bekannt ist. Diese Gruppe ist bekannt für ihren geschickten Einsatz von Social Engineering und **Vishing** (Voice Phishing), um in Unternehmensnetzwerke einzudringen. "**UNC3573** nutzt Voice Phishing (Vishing) und Social Engineering-Täuschungstechniken, um Fernzugriff auf Unternehmensumgebungen zu erlangen", erklärten die Forscher Chad Reams, Tufail Ahmed, Keith Knapp, Ashley Frazer und Tyler McLellan in ihrem Bericht. ### Das ausgeklügelte Repertoire von UNC3753 Die Angreifer nehmen Kontakt über Vorwände wie Datenmigration oder Rechnungs-E-Mails auf. Diese anfänglichen E-Mails sind oft harmlos und enthalten keine bösartigen Links oder Anhänge. Sie dienen hauptsächlich dazu, einen Vorwand zu schaffen und die internen Sicherheitsbedenken des Ziels zu erhöhen. Dies macht die Empfänger empfänglicher für nachfolgende Anrufe. Bei diesen Folgeanrufen geben sich die Angreifer als IT-Support-Mitarbeiter aus und überzeugen die Ziele, Bildschirmfreigabesitzungen durchzuführen und legitime Remote-Monitoring- und Management (**RMM**)-Tools herunterzuladen. Beliebte Plattformen wie **Zoom**, **Microsoft Teams** oder **Quick Assist** werden häufig für diese Sitzungen genutzt. Nachdem sie anfänglichen Zugriff erlangt haben, durchsucht **UNC3753** entweder direkt nach interessanten Dateien und exfiltriert diese oder manipuliert das Opfer, diese Aktionen in ihrem Namen durchzuführen. Gestohlene Informationen umfassen in der Regel proprietäre Rechtsvereinbarungen, persönlich identifizierbare Informationen (**PII**) und sensible Finanzunterlagen. Anweisungen zur Installation von RMM-Software wie **AnyDesk**, **Bomgar**, **SuperOps RMM** oder **Zoho Assist** werden oft über flüchtige Messaging-Dienste wie `privnote[.]com` geteilt, um sicherzustellen, dass die Anweisungen nach dem Lesen selbst zerstört werden. ### Von Vishing zur physischen Einbruch In einer signifikanten Eskalation der Taktiken hat das **U.S. Federal Bureau of Investigation (FBI)** kürzlich eine Warnung herausgegeben, die Fälle hervorhebt, in denen **UNC3753**-Akteure physisch auf die Systeme von Opfern zugegriffen haben. Diese physischen Einbrüche beinhalten, dass sich die Angreifer als IT-Techniker ausgeben, um Zugang zu Unternehmensbüros zu erhalten und Daten mithilfe von entfernbaren **USB**-Medien zu stehlen. "Indem sie jemanden persönlich zum Standort des Opfers schicken, um den Einbruch zu erleichtern, exfiltrieren **SRG**-Akteure Daten auf eine externe Festplatte oder einen **USB**-Stick, den der Angreifer in den Computer des Opfers einsteckt", stellte das **FBI** fest und unterstrich die fortgeschrittenen Fähigkeiten dieser Gruppe. ### Die Conti-Verbindung und sich entwickelnde Taktiken Die Analyse von **Google** zeigt, dass **UNC3753** taktische Überschneidungen mit **UNC2686** aufweist, einem weiteren Bedrohungscluster, der für seine **BazarCall-ähnlichen** Kampagnen im Jahr 2021 bekannt ist. Es wird angenommen, dass beide Gruppen Ableger der inzwischen aufgelösten **Conti-Ransomware-Gang** sind. Während **UNC3753** zuvor **LockBit Black** Ransomware eingesetzt hat, haben sich seine Operationen seit 2022 überwiegend auf reine Erpressung verlagert. Opfer werden unter Druck gesetzt zu zahlen, andernfalls droht die Veröffentlichung der gestohlenen Daten auf der Datenlecks-Website **LEAKEDDATA**. Frühe Kampagnen der Gruppe beinhalteten Lockmittel zur Abonnementkündigung als Teil von Callback-Phishing-Angriffen, mit dem Ziel, Remote-Zugriffssoftware auf den Rechnern der Opfer zu installieren. In jüngerer Zeit, seit März 2025, konzentriert sich die Gruppe darauf, sich als interne IT-Helpdesk-Mitarbeiter auszugeben, um traditionelle Sicherheitskontrollen zu umgehen. ### Schnelle Erpressung und hochkarätige Ziele  Sobald der Zugriff hergestellt ist, gehen **UNC3753**-Akteure schnell dazu über, lokale und Cloud-Verzeichnisse zu enumerieren, gemappte Netzwerklaufwerke zu durchsuchen und Daten aus hochsensiblen Ordnern zu sammeln. Dies umfasst Informationen zu Steuererklärungen, Audits, Vereinbarungen mit Unternehmenskunden und **Social Security Numbers (SSNs)**. Die Datenexfiltration erfolgt typischerweise mit Tools wie **WinSCP** oder **Rclone** oder durch das Senden der Daten an vom Angreifer kontrollierte E-Mail-Adressen aus dem Postfach des Ziels. Dieser gesamte Prozess, vom Erstkontakt bis zur Datenerpressung, findet häufig innerhalb eines einzigen Geschäftstages statt, wobei die Datensuche, das Staging und der Diebstahl oft in weniger als einer Stunde abgeschlossen sind. Etwa 30 Minuten nach Verlassen der Zielumgebung wird eine Erpressungsforderung per E-Mail gesendet, die den Opfern eine Frist von drei Tagen für Verhandlungen einräumt. Die Angreifer üben weiteren Druck auf die Ziele aus, indem sie drohen, Mitarbeiter und externe Kunden direkt zu kontaktieren, um den Verstoß offenzulegen, und die gestohlenen Informationen auf ihrer Datenlecks-Website zu veröffentlichen. **Google** betont, dass "Rechtsanwaltskanzleien hochkarätige Ziele für Erpressungsakteure darstellen. Sie verfügen über konzentrierte Repositorien extrem sensibler Mandantentransaktionsdateien, Fusions- und Übernahmepläne, Geschäftsgeheimnisse von Mandanten und unternehmensrechtliche Berichte." Die Gruppe nutzt die Reputations- und Regulierungsrisiken solcher Unternehmen aus und erkennt, dass die Ausrichtung auf das menschliche Element robuste technische Peripherien und **MFA**-Konfigurationen effektiv umgehen kann. ### Erkennungsumgehung mit Fast Flux Ein ergänzender Bericht von **Resecurity** beleuchtet die ausgeklügelte Infrastruktur von **UNC3753**. Die Gruppe nutzt **DNS Fast Flux**-Netzwerkinfrastrukturen in verschiedenen Ländern Lateinamerikas, Osteuropas, Zentralasiens, des Nahen Ostens/Afrikas, Ostasiens und der Karibik. Diese Technik macht ihre Domains, wie `business-data-leaks[.]com` (ihre Datenlecks-Website) und `ep6pheij[.]com` (zur Speicherung gestohlener Daten verwendet), erheblich schwieriger zu blockieren und abzuschalten. "Durch die Änderung der **DNS**-Einträge und die Verwendung kurzer Time-To-Live (**TTL**)-Werte machen Angreifer ihre bösartige Infrastruktur widerstandsfähig gegen Abschaltungen", erklärte **Resecurity**. Beide Domains operieren in einem Fast-Flux-Netzwerk, das von einem Botnet unterstützt wird, das sich über 18 Länder und 22 **ISPs** erstreckt. Bemerkenswerterweise enthält die Infrastruktur keine Rechenzentrums- oder Hosting-IPs; jeder Knotenpunkt lässt sich auf einen Consumer-ISP zurückführen und wird als private oder mobile IP-Adresse gekennzeichnet, was die Erkennungs- und Abwehrmaßnahmen weiter erschwert.