La société de cybersécurité **Mandiant** a jeté une nouvelle lumière sur les campagnes agressives menées par le **Silent Ransom Group**, un gang d'extorsion ciblant activement les cabinets d'avocats américains et d'autres organisations de services professionnels. Le groupe, également connu sous les noms de **UNC3753**, **Luna Moth** et **Chatty Spider**, a démontré sa capacité à voler des données sensibles dans les heures suivant le premier contact. Ce rapport complète un récent avis FLASH du **FBI**, qui avait précédemment mis en garde contre la concentration du **Silent Ransom Group** sur les cabinets d'avocats américains, y compris les tentatives de vol de données en personne. Les conclusions de **Mandiant** fournissent des détails techniques cruciaux sur les méthodes d'intrusion du groupe. ### Pourquoi les cabinets d'avocats sont des cibles de choix Entre janvier et mai 2026, des dizaines d'organisations dans les secteurs juridique, financier et des services professionnels ont été victimes de ces attaques. Les cabinets juridiques sont des cibles particulièrement attrayantes en raison des vastes dépôts de données hautement sensibles qu'ils détiennent, notamment des fichiers de transactions, des plans de fusion et acquisition, des secrets commerciaux et des rapports réglementaires d'entreprise. Les acteurs de la menace reconnaissent que les entités juridiques sont confrontées à des risques importants en matière de réputation et de réglementation, ce qui les rend très motivées à résoudre les demandes d'extorsion discrètement afin de protéger leur statut professionnel et la confiance de leurs clients. ### Le manuel d'ingénierie sociale Les attaques commencent généralement par des e-mails de hameçonnage sur le thème des factures envoyés depuis des comptes grand public. Ces e-mails initiaux sont bénins, ne contenant aucun lien ni aucune pièce jointe malveillante, servant simplement de précurseur aux appels téléphoniques de suivi. Lors de ces appels, les attaquants usurpent l'identité du personnel informatique de l'entreprise, trompant les employés pour qu'ils rejoignent des sessions de support à distance via des plateformes comme **Microsoft Teams**, **Zoom**, **Quick Assist** ou **Microsoft Terminal Services**. Cette technique de hameçonnage par rappel est un pilier pour ces acteurs de la menace depuis des années, déjà observée dans les campagnes **BazarCall** liées aux attaques de ransomware **Ryuk** et **Conti**. En incitant les victimes à les rappeler, les attaquants contournent les mesures de sécurité traditionnelles des e-mails. Pendant les sessions à distance, les cibles sont persuadées d'installer des outils légitimes de surveillance et de gestion à distance tels que **AnyDesk**, **Zoho Assist**, **Bomgar** ou **SuperOps**, accordant ainsi aux attaquants un accès initial au réseau de l'entreprise.  ### Tactiques d'infiltration et d'exfiltration **Mandiant** a également identifié des domaines de hameçonnage conçus pour imiter les portails informatiques internes, en utilisant des conventions de nommage telles que : * `<organization>-itdesk[.]com` * `<organization>-it[.]com` * `<organization>-helpdesk[.]com` Pour échapper davantage à la détection, les acteurs de la menace utilisent `privnote[.]com`, un service de messagerie à autodestruction, pour partager des liens d'installation et des commandes pendant les sessions de support à distance. Cela minimise les artefacts forensiques dans l'historique du navigateur ou les journaux de chat d'entreprise. Une fois à l'intérieur du réseau, le groupe recherche méticuleusement des documents juridiques et financiers sensibles, y compris des contrats, des dossiers fiscaux, des numéros de sécurité sociale et des dossiers de fusion et acquisition. Ils ciblent couramment les plateformes de gestion de documents et les dépôts de stockage cloud, exfiltrant les données à l'aide d'outils comme **WinSCP** ou **Rclone**. ### Extorsion agressive et tactiques évolutives Les opérations d'extorsion du **Silent Ransom Group** sont particulièrement agressives, les demandes de rançon arrivant souvent dans les 30 minutes suivant la sortie des attaquants de l'environnement de la victime. Ces demandes imposent généralement un délai de trois jours pour les négociations. Le non-respect entraîne des menaces de contacter directement les employés cibles et les clients externes, exposant la violation de données et soulignant le potentiel de dommages à la réputation, d'amendes réglementaires et de poursuites judiciaires de la part des clients. Bien que les preuves forensiques soient limitées, **Mandiant** estime que les avertissements du **FBI** concernant les attaques de vol de données en personne sont probablement liés à **UNC3753** en raison des similitudes dans le ciblage, les délais et le comportement opérationnel. Le **Silent Ransom Group** est actif depuis au moins 2022, initialement dans le cadre du syndicat de cybercriminalité **Ryuk** et **Conti**. Suite à la fermeture du syndicat **Conti**, le groupe est passé à l'exfiltration de données et à l'extorsion autonomes, abandonnant le chiffrement traditionnel des ransomwares au profit de l'exfiltration pure de données et de tactiques de pression. Dans un rapport séparé, **Resecurity** a révélé que le gang utilise également une infrastructure fast-flux pour dissimuler et protéger ses plateformes de fuite de données. Cette méthode implique la rotation constante des adresses IP d'un domaine à travers un grand pool d'appareils résidentiels compromis dans plusieurs pays et fournisseurs d'accès à Internet, rendant les démantèlements et les blocages considérablement plus difficiles. **Resecurity** a lié le site de fuite du groupe `business-data-leaks[.]com` à une telle infrastructure, fonctionnant via des réseaux de proxy résidentiels en Amérique latine, en Europe de l'Est, en Asie centrale, au Moyen-Orient et en Asie. ### Recommandations de défense Pour atténuer ces menaces, **Mandiant** et le **FBI** recommandent des mesures de sécurité robustes : * Mettre en œuvre des procédures de vérification strictes pour toutes les interactions de support informatique. * Limiter l'utilisation des outils d'accès à distance. * Appliquer l'authentification multifacteur (MFA) sur tous les systèmes. * Restreindre l'utilisation des périphériques de stockage USB. * Mener une formation régulière des employés pour reconnaître et signaler les tentatives de hameçonnage vocal (vishing).