La firma de ciberseguridad **Mandiant** ha arrojado nueva luz sobre las agresivas campañas llevadas a cabo por el **Silent Ransom Group**, una banda de extorsión que ataca activamente a bufetes de abogados y otras organizaciones de servicios profesionales en EE. UU. El grupo, también rastreado como **UNC3753**, **Luna Moth** y **Chatty Spider**, ha demostrado su capacidad para robar datos sensibles en cuestión de horas tras el contacto inicial. Este informe amplía un reciente aviso FLASH del **FBI**, que anteriormente advertía sobre el enfoque del **Silent Ransom Group** en bufetes de abogados estadounidenses, incluyendo intentos de robo de datos en persona. Los hallazgos de **Mandiant** proporcionan detalles técnicos cruciales sobre los métodos de intrusión del grupo. ### Por qué los Bufetes de Abogados Son Objetivos Principales Entre enero y mayo de 2026, docenas de organizaciones en los sectores legal, financiero y de servicios profesionales fueron víctimas de estos ataques. Los bufetes de abogados son objetivos particularmente atractivos debido a los vastos repositorios de datos altamente confidenciales que poseen, incluyendo archivos de transacciones, planes de fusiones y adquisiciones, secretos comerciales e informes regulatorios corporativos. Los actores de amenazas reconocen que las entidades legales enfrentan riesgos significativos de reputación y regulatorios, lo que las motiva fuertemente a resolver las demandas de extorsión de manera discreta para proteger su imagen profesional y la confianza de sus clientes. ### El Manual de Ingeniería Social Los ataques suelen comenzar con correos electrónicos de phishing temáticos de facturas enviados desde cuentas de consumidores. Estos correos iniciales son benignos, sin enlaces ni adjuntos maliciosos, sirviendo meramente como un precursor para llamadas telefónicas de seguimiento. En estas llamadas, los atacantes se hacen pasar por personal de TI corporativo, engañando a los empleados para que se unan a sesiones de soporte remoto a través de plataformas como **Microsoft Teams**, **Zoom**, **Quick Assist** o **Microsoft Terminal Services**. Esta técnica de phishing de devolución de llamada ha sido un pilar para estos actores de amenazas durante años, vista previamente en campañas de **BazarCall** vinculadas a ataques de ransomware **Ryuk** y **Conti**. Al incitar a las víctimas a llamarles de vuelta, los atacantes eluden las medidas de seguridad de correo electrónico tradicionales. Durante las sesiones remotas, se persuade a los objetivos para que instalen herramientas legítimas de monitoreo y gestión remota como **AnyDesk**, **Zoho Assist**, **Bomgar** o **SuperOps**, otorgando así a los atacantes acceso inicial a la red corporativa.  ### Tácticas de Infiltración y Exfiltración **Mandiant** también identificó dominios de phishing diseñados para imitar portales de TI internos, utilizando convenciones de nombres como: * `<organization>-itdesk[.]com` * `<organization>-it[.]com` * `<organization>-helpdesk[.]com` Para evadir aún más la detección, los actores de amenazas utilizan `privnote[.]com`, un servicio de mensajería autodestructible, para compartir enlaces de instalación y comandos durante las sesiones de soporte remoto. Esto minimiza los artefactos forenses en los historiales del navegador o los registros de chat corporativos. Una vez dentro de la red, el grupo busca meticulosamente documentos legales y financieros sensibles, incluyendo contratos, registros fiscales, números de Seguro Social y archivos de fusiones y adquisiciones. Comúnmente apuntan a plataformas de gestión de documentos y repositorios de almacenamiento en la nube, exfiltrando datos utilizando herramientas como **WinSCP** o **Rclone**. ### Extorsión Agresiva y Tácticas en Evolución Las operaciones de extorsión del **Silent Ransom Group** son notablemente agresivas, con demandas de rescate que a menudo llegan dentro de los 30 minutos posteriores a que los atacantes abandonan el entorno de la víctima. Estas demandas suelen imponer un plazo de tres días para las negociaciones. El incumplimiento resulta en amenazas de contactar directamente a los empleados objetivo y clientes externos, exponiendo la brecha de datos y enfatizando el potencial de daño reputacional, multas regulatorias y demandas de clientes. Aunque la evidencia forense es limitada, **Mandiant** cree que las advertencias del **FBI** sobre ataques de robo de datos en persona probablemente estén vinculadas a **UNC3753** debido a similitudes en el objetivo, los plazos y el comportamiento operativo. El **Silent Ransom Group** ha estado activo al menos desde 2022, inicialmente como parte del sindicato de cibercrimen **Ryuk** y **Conti**. Tras el cierre del sindicato **Conti**, el grupo pasó a la exfiltración de datos independiente y la extorsión, abandonando el cifrado de ransomware tradicional en favor de la pura exfiltración de datos y tácticas de presión. En un informe separado, **Resecurity** reveló que la banda también está empleando infraestructura fast-flux para ocultar y proteger sus plataformas de filtración de datos. Este método implica rotar constantemente las direcciones IP de un dominio a través de un gran grupo de dispositivos residenciales comprometidos en múltiples países y proveedores de servicios de Internet, lo que hace que las desarticulaciones y bloqueos sean significativamente más desafiantes. **Resecurity** vinculó el sitio de filtración de datos del grupo `business-data-leaks[.]com` a dicha infraestructura, operando a través de redes de proxy residenciales en América Latina, Europa del Este, Asia Central, Medio Oriente y Asia. ### Recomendaciones de Defensa Para mitigar estas amenazas, tanto **Mandiant** como el **FBI** recomiendan medidas de seguridad robustas: * Implementar procedimientos de verificación estrictos para todas las interacciones de soporte de TI. * Limitar el uso de herramientas de acceso remoto. * Aplicar autenticación multifactor (MFA) en todos los sistemas. * Restringir el uso de dispositivos de almacenamiento USB. * Realizar capacitación regular a los empleados para reconocer y reportar intentos de phishing por voz (vishing).