Les chercheurs en cybersécurité de **Google Mandiant** et du **Google Threat Intelligence Group (GTIG)** ont dévoilé les détails d'une campagne généralisée de vol de données et d'extorsion. Cette opération, active entre janvier et mai 2026, a ciblé de nombreuses organisations dans les secteurs professionnel, juridique et financier des États-Unis. L'activité est attribuée à **UNC3753**, un acteur de menace également identifié sous les noms de **Chatty Spider**, **Luna Moth** et **Silent Ransom Group (SRG)**. Ce groupe est connu pour son utilisation experte de l'ingénierie sociale et du **vishing** (hameçonnage vocal) pour s'infiltrer dans les réseaux d'entreprise. "**UNC3753** utilise le vishing (hameçonnage vocal) et des techniques de tromperie par ingénierie sociale pour obtenir un accès à distance dans les environnements d'entreprise", ont déclaré les chercheurs Chad Reams, Tufail Ahmed, Keith Knapp, Ashley Frazer et Tyler McLellan dans leur rapport. ### Le playbook sophistiqué d'UNC3753 Les acteurs de la menace initient le contact en utilisant des prétextes tels que la migration de données ou des e-mails liés à des factures. Ces e-mails initiaux sont souvent bénins, sans liens ou pièces jointes malveillants, servant principalement à établir un prétexte et à accroître les préoccupations de sécurité internes de la cible. Cela rend les destinataires plus réceptifs aux appels téléphoniques ultérieurs. Lors de ces appels de suivi, les attaquants se font passer pour le personnel de support informatique, convainquant les cibles de participer à des sessions de partage d'écran et de télécharger des utilitaires légitimes de surveillance et de gestion à distance (**RMM**). Des plateformes populaires comme **Zoom**, **Microsoft Teams** ou **Quick Assist** sont fréquemment utilisées pour ces sessions. Une fois l'accès initial obtenu, **UNC3753** recherche et exfiltre directement les fichiers d'intérêt, ou manipule la victime pour qu'elle effectue ces actions en leur nom. Les informations volées comprennent généralement des accords juridiques propriétaires, des informations personnellement identifiables (**PII**) et des dossiers financiers sensibles. Les instructions pour installer des logiciels RMM, tels que **AnyDesk**, **Bomgar**, **SuperOps RMM** ou **Zoho Assist**, sont souvent partagées via des services de messagerie éphémères comme `privnote[.]com`, garantissant que les instructions s'autodétruisent après avoir été lues. ### Du Vishing à l'intrusion physique Dans une escalade significative des tactiques, le **U.S. Federal Bureau of Investigation (FBI)** a récemment publié un avis soulignant des cas où des acteurs d'**UNC3753** ont accédé aux systèmes des victimes en personne. Ces intrusions physiques impliquent des acteurs de la menace se faisant passer pour des techniciens informatiques pour pénétrer dans les bureaux d'entreprise et voler des données à l'aide de supports **USB** amovibles. "En envoyant quelqu'un en personne sur le site de la victime pour faciliter l'intrusion, les acteurs de **SRG** exfiltrent des données vers un disque dur externe ou une clé **USB** insérée par l'acteur de la menace dans l'ordinateur de la victime", a noté le **FBI**, soulignant la nature avancée des capacités de ce groupe. ### La connexion Conti et l'évolution des tactiques L'analyse de **Google** révèle que **UNC3753** partage des recoupements tactiques avec **UNC2686**, un autre groupe de menaces connu pour ses campagnes de style **BazarCall** en 2021. Les deux groupes sont considérés comme des émanations du groupe de ransomware **Conti**, aujourd'hui disparu. Bien que **UNC3753** ait précédemment déployé le ransomware **LockBit Black**, ses opérations se sont principalement orientées vers l'extorsion uniquement depuis 2022. Les victimes sont contraintes de payer, sous peine de voir leurs données volées publiées sur le site de fuite de données **LEAKEDDATA**. Les premières campagnes du groupe impliquaient des leurres d'annulation d'abonnement dans le cadre d'attaques de phishing par rappel, visant à installer un logiciel d'accès à distance sur les machines des victimes. Plus récemment, depuis mars 2025, le groupe s'est concentré sur l'usurpation d'identité du personnel du service d'assistance informatique interne de l'entreprise pour contourner les contrôles de sécurité traditionnels. ### Extorsion rapide et cibles de grande valeur  Une fois l'accès établi, les acteurs d'**UNC3753** se déplacent rapidement pour énumérer les répertoires locaux et cloud, parcourir les lecteurs réseau mappés et récolter des données dans des dossiers hautement sensibles. Cela inclut des informations relatives aux déclarations fiscales, aux audits, aux accords clients d'entreprise et aux numéros de sécurité sociale (**SSNs**). L'exfiltration des données est généralement réalisée à l'aide d'outils tels que **WinSCP** ou **Rclone**, ou en envoyant les données à des adresses e-mail contrôlées par l'attaquant depuis la boîte aux lettres de la cible. L'ensemble de ce processus, du contact initial à l'extorsion de données, se déroule fréquemment en une seule journée ouvrable, les recherches de données, la mise en scène et le vol étant souvent terminés en moins d'une heure. Environ 30 minutes après avoir quitté l'environnement cible, une demande d'extorsion est envoyée par e-mail, donnant aux victimes un délai de trois jours pour les négociations. Les acteurs de la menace exercent une pression supplémentaire sur les cibles en menaçant de contacter directement les employés et les clients externes pour divulguer la violation, en plus de publier les informations volées sur leur site de fuite de données. **Google** souligne que "les cabinets d'avocats représentent des cibles de grande valeur pour les acteurs d'extorsion. Ils conservent des dépôts concentrés de fichiers de transactions clients extrêmement sensibles, de plans de fusion et d'acquisition, de secrets commerciaux clients et de rapports réglementaires d'entreprise." Le groupe exploite l'exposition réputationnelle et réglementaire de telles entités, reconnaissant que cibler l'élément humain peut efficacement contourner les périmètres techniques robustes et les configurations **MFA**. ### Évasion de la détection avec le Fast Flux Un rapport complémentaire de **Resecurity** met en lumière l'infrastructure sophistiquée d'**UNC3753**. Le groupe utilise une infrastructure réseau **DNS Fast Flux** dans divers pays d'Amérique latine, d'Europe de l'Est, d'Asie centrale, du Moyen-Orient/Afrique, d'Asie de l'Est et des Caraïbes. Cette technique rend leurs domaines, tels que `business-data-leaks[.]com` (leur site de fuite de données) et `ep6pheij[.]com` (utilisé pour la mise en scène des données volées), considérablement plus difficiles à bloquer et à démanteler. "En modifiant les enregistrements **DNS** et en utilisant des valeurs de temps de vie (**TTL**) courtes, les attaquants rendent leur infrastructure malveillante résiliente aux démantèlements", a expliqué **Resecurity**. Les deux domaines fonctionnent sur un réseau fast-flux soutenu par un botnet réparti dans 18 pays et 22 **FAI**. Notamment, l'infrastructure ne contient aucun IP de datacenter ou d'hébergement ; chaque nœud remonte à un FAI grand public et est signalé comme une adresse IP résidentielle ou mobile, compliquant davantage les efforts de détection et d'atténuation.