Según el Grupo de Inteligencia de Amenazas de **Google** (GTIG), docenas de entidades corporativas han sido blanco de este método. **Austin Larsen**, analista principal de amenazas de GTIG, informa que **UNC6783** emplea típicamente campañas de ingeniería social y phishing para comprometer a los BPO que trabajan con empresas objetivo. Sin embargo, ha habido casos en los que los actores de amenazas contactaron directamente al personal de soporte y de mesa de ayuda dentro de las organizaciones objetivo para obtener acceso. Los investigadores sugieren que **UNC6783** podría estar vinculado a **Raccoon**, una persona conocida por atacar a múltiples BPO que brindan servicios a grandes empresas. ### Tácticas de Ingeniería Social En ataques de ingeniería social realizados a través de chat en vivo, el actor de amenazas dirige a los empleados de soporte a páginas de inicio de sesión de **Okta** falsificadas. Estas páginas se alojan en dominios que imitan a los de la empresa objetivo, siguiendo el patrón `&lt;org&gt;[.]zendesk-support&lt;##&gt;[.]com`. <a rel="nofollow noopener" href="http://www.linkedin.com/feed/update/urn:li:activity:7447117799153360896/">Larsen dice</a> que el kit de phishing desplegado en estos ataques puede robar el contenido del portapapeles para eludir la protección de autenticación multifactor (MFA), permitiendo al atacante registrar su dispositivo en la organización. **Google** también ha observado ataques en los que **UNC6783** distribuyó actualizaciones de seguridad falsas para entregar malware de acceso remoto (RAT). ### Extorsión y Posible Vínculo con la Brecha de Adobe Después de robar con éxito datos sensibles, el actor de amenazas procede a extorsionar a las víctimas, contactándolas a través de direcciones de **ProtonMail** con demandas de pago. Si bien GTIG no ofreció más información sobre **Raccoon**, la cuenta de inteligencia de amenazas International Cyber Digest informó que alguien con el alias “Mr. Raccoon” reclamó una brecha en **Adobe**, la cual la empresa aún no ha confirmado. El atacante afirmó haber obtenido acceso a datos de **Adobe** después de comprometer a un BPO con sede en India que trabajaba para la empresa. Desplegaron un troyano de acceso remoto (RAT) en la computadora de un empleado y posteriormente atacaron al gerente del empleado en un ataque de phishing. Mr. Raccoon afirmó haber robado 13 millones de tickets de soporte que contenían datos personales, registros de empleados, envíos de **HackerOne** y documentos internos. El actor de amenazas detrás de la **brecha de CrunchyRoll** confirmó que también estuvo detrás del ataque a **Adobe**, pero no proporcionó ninguna evidencia. ### Recomendaciones de Mitigación **Mandiant de Google** ha proporcionado varias recomendaciones de defensa contra los ataques de **UNC6783**, que incluyen: * Desplegar llaves de seguridad FIDO2 para MFA. * Monitorear el chat en vivo para detectar abusos. * Bloquear dominios falsificados que coincidan con los patrones de **Zendesk**. * Auditar regularmente las inscripciones de dispositivos MFA.