Investigadores de ciberseguridad de **Google Mandiant** y el **Google Threat Intelligence Group (GTIG)** han revelado detalles de una campaña generalizada de robo de datos y extorsión. Esta operación, activa entre enero y mayo de 2026, se ha centrado en numerosas organizaciones dentro de los sectores profesional, legal y financiero de EE. UU. La actividad se atribuye a **UNC3753**, un actor de amenazas también identificado como **Chatty Spider**, **Luna Moth** y el **Silent Ransom Group (SRG)**. Este grupo es conocido por su hábil uso de la ingeniería social y el **vishing** (phishing por voz) para infiltrarse en redes corporativas. "**UNC3753** aprovecha el phishing por voz (vishing) y las técnicas de engaño de ingeniería social para lograr acceso remoto a entornos corporativos", declararon los investigadores Chad Reams, Tufail Ahmed, Keith Knapp, Ashley Frazer y Tyler McLellan en su informe. ### El Sofisticado Manual de Operaciones de UNC3753 Los actores de amenazas inician el contacto utilizando pretextos como la migración de datos o correos electrónicos relacionados con facturas. Estos correos iniciales suelen ser benignos, careciendo de enlaces o archivos adjuntos maliciosos, sirviendo principalmente para establecer un pretexto y aumentar las preocupaciones de seguridad interna del objetivo. Esto hace que los destinatarios sean más receptivos a las llamadas telefónicas posteriores. Durante estas llamadas de seguimiento, los atacantes se hacen pasar por personal de soporte de TI, convenciendo a los objetivos para que participen en sesiones de compartir pantalla y descarguen utilidades legítimas de monitoreo y administración remota (**RMM**). Plataformas populares como **Zoom**, **Microsoft Teams** o **Quick Assist** se utilizan frecuentemente para estas sesiones. Una vez obtenido el acceso inicial, **UNC3753** busca y exfiltra directamente archivos de interés o manipula a la víctima para que realice estas acciones en su nombre. La información robada típicamente incluye acuerdos legales propietarios, información de identificación personal (**PII**) y registros financieros sensibles. Las instrucciones para instalar software RMM, como **AnyDesk**, **Bomgar**, **SuperOps RMM** o **Zoho Assist**, a menudo se comparten a través de servicios de mensajería efímera como `privnote[.]com`, asegurando que las instrucciones se autodestruyan después de ser leídas. ### De Vishing a Intrusión Física En una escalada significativa de tácticas, el **U.S. Federal Bureau of Investigation (FBI)** emitió recientemente un aviso destacando instancias en las que actores de **UNC3753** han accedido a los sistemas de las víctimas en persona. Estas intrusiones físicas implican que los actores de amenazas se hagan pasar por técnicos de TI para obtener acceso a oficinas corporativas y robar datos utilizando medios **USB** extraíbles. "Al enviar a alguien en persona a la ubicación de la víctima para facilitar la intrusión, los actores de **SRG** exfiltran datos a un disco duro externo o unidad **USB** insertada por el actor de amenazas en la computadora de la víctima", señaló el **FBI**, subrayando la naturaleza avanzada de las capacidades de este grupo. ### La Conexión Conti y las Tácticas en Evolución El análisis de **Google** revela que **UNC3753** comparte solapamientos tácticos con **UNC2686**, otro grupo de amenazas conocido por sus campañas de estilo **BazarCall** en 2021. Se cree que ambos grupos son ramificaciones de la ahora extinta **banda de ransomware Conti**. Si bien **UNC3753** ha desplegado previamente el ransomware **LockBit Black**, sus operaciones se han centrado predominantemente en la extorsión pura desde 2022. Se presiona a las víctimas para que paguen, o se amenaza con publicar sus datos robados en el sitio de filtración de datos **LEAKEDDATA**. Las primeras campañas del grupo involucraron señuelos de cancelación de suscripción como parte de ataques de phishing de callback, con el objetivo de instalar software de acceso remoto en las máquinas de las víctimas. Más recientemente, desde marzo de 2025, el grupo se ha centrado en hacerse pasar por personal de mesa de ayuda de TI corporativa interna para eludir los controles de seguridad tradicionales. ### Extorsión Rápida y Objetivos de Alto Valor  Una vez que se establece el acceso, los actores de **UNC3753** se mueven rápidamente para enumerar directorios locales y en la nube, rastrear unidades de red mapeadas y recopilar datos de carpetas altamente sensibles. Esto incluye información relacionada con declaraciones de impuestos, auditorías, acuerdos de clientes corporativos y números de la Seguridad Social (**SSN**). La exfiltración de datos se logra típicamente utilizando herramientas como **WinSCP** o **Rclone**, o enviando los datos a direcciones de correo electrónico controladas por el actor desde el propio buzón del objetivo. Todo este proceso, desde el contacto inicial hasta la extorsión de datos, ocurre con frecuencia dentro de un solo día hábil, y las búsquedas, preparación y robo de datos a menudo se completan en menos de una hora. Dentro de aproximadamente 30 minutos después de salir del entorno objetivo, se envía una demanda de extorsión por correo electrónico, dando a las víctimas un plazo de tres días para negociaciones. Los actores de amenazas presionan aún más a los objetivos amenazando con contactar directamente a los empleados y clientes externos para divulgar la brecha, además de publicar la información robada en su sitio de filtración de datos. **Google** enfatiza que "las firmas de servicios legales representan objetivos de alto valor para los actores de extorsión. Mantienen repositorios concentrados de archivos de transacciones de clientes extremadamente sensibles, planes de fusiones y adquisiciones, secretos comerciales de clientes e informes regulatorios corporativos". El grupo explota la exposición reputacional y regulatoria de tales entidades, reconociendo que atacar el elemento humano puede eludir eficazmente los perímitros técnicos robustos y las configuraciones de **MFA**. ### Evasión de la Detección con Fast Flux Un informe complementario de **Resecurity** arroja luz sobre la sofisticada infraestructura de **UNC3753**. El grupo utiliza infraestructura de red **DNS Fast Flux** en varios países de América Latina, Europa del Este, Asia Central, Medio Oriente/África, Asia Oriental y el Caribe. Esta técnica hace que sus dominios, como `business-data-leaks[.]com` (su sitio de filtración de datos) y `ep6pheij[.]com` (utilizado para preparar datos robados), sean significativamente más difíciles de bloquear y desmantelar. "Al cambiar los registros **DNS** y utilizar valores cortos de Tiempo de Vida (**TTL**), los atacantes hacen que su infraestructura maliciosa sea resistente a los desmantelamientos", explicó **Resecurity**. Ambos dominios operan en una red de flujo rápido respaldada por una botnet distribuida en 18 países y 22 **ISP**. Notablemente, la infraestructura no contiene IPs de centros de datos ni de alojamiento; cada nodo se remonta a un ISP de consumo y se marca como una dirección IP residencial o móvil, lo que complica aún más los esfuerzos de detección y mitigación.