**Google Mandiant**および**Google Threat Intelligence Group (GTIG)**のサイバーセキュリティ研究者たちが、広範なデータ窃盗および恐喝キャンペーンの詳細を明らかにしました。2026年1月から5月にかけて活動していたこの作戦は、米国の専門、法律、金融セクター内の多数の組織を標的としていました。 この活動は、**Chatty Spider**、**Luna Moth**、**Silent Ransom Group (SRG)**としても特定されている攻撃者**UNC3753**に起因しています。このグループは、ソーシャルエンジニアリングと**vishing**（ボイスフィッシング）を巧みに利用して、企業ネットワークに侵入することで知られています。 「**UNC3753**は、ボイスフィッシング（vishing）とソーシャルエンジニアリングの欺瞞技術を活用して、企業環境へのリモートアクセスを実現します」と、研究者のChad Reams、Tufail Ahmed、Keith Knapp、Ashley Frazer、Tyler McLellanは報告書で述べています。 ### UNC3753の巧妙な手口 攻撃者は、データ移行や請求書関連のメールなどを口実にして連絡を開始します。これらの最初のメールは、悪意のあるリンクや添付ファイルを含まず、主に口実を確立し、標的の内部セキュリティへの懸念を高めるために使用されます。これにより、受信者はその後の電話に対してより受け入れやすくなります。 これらのフォローアップの電話中に、攻撃者はITサポート担当者を装い、標的に画面共有セッションへの参加や正規のリモート監視・管理（**RMM**）ユーティリティのダウンロードを説得します。**Zoom**、**Microsoft Teams**、**Quick Assist**などの一般的なプラットフォームが、これらのセッションで頻繁に利用されます。 初期アクセスを獲得した後、**UNC3753**は、関心のあるファイルを直接検索して窃取するか、被害者に代わりにこれらのアクションを実行するように操作します。盗まれた情報には、通常、独自の法的契約、個人識別情報（**PII**）、および機密性の高い財務記録が含まれます。 **AnyDesk**、**Bomgar**、**SuperOps RMM**、**Zoho Assist**などのRMMソフトウェアのインストール手順は、メッセージが読み取られた後に自己破壊されるように、`privnote[.]com`のような一時的なメッセージングサービスを通じて共有されることがよくあります。 ### Vishingから物理的侵入へ 戦術の重大なエスカレーションとして、**米国連邦捜査局（FBI）**は最近、**UNC3753**の攻撃者が実際に被害者のシステムに物理的にアクセスした事例を強調する勧告を発行しました。これらの物理的な侵入には、攻撃者がIT技術者を装って企業のオフィスに侵入し、取り外し可能な**USB**メディアを使用してデータを盗むというものがあります。 「侵入を容易にするために被害者の場所に担当者を派遣することで、**SRG**の攻撃者は、攻撃者が被害者のコンピュータに挿入した外付けハードドライブまたは**USB**ドライブにデータを窃取します」と、**FBI**は、このグループの能力の高度な性質を強調して述べています。 ### Contiとの関連と進化する戦術 **Google**の分析によると、**UNC3753**は、2021年に**BazarCall**スタイルのキャンペーンで知られる別の脅威クラスターである**UNC2686**と戦術的な重複を示しています。両グループは、現在活動していない**Conti ransomware gang**の派生であると考えられています。 **UNC3753**は以前**LockBit Black**ランサムウェアを展開していましたが、2022年以降、その活動は主に恐喝のみに移行しています。被害者は支払いを強要され、盗まれたデータは**LEAKEDDATA**データ漏洩サイトで公開されると脅迫されます。 このグループの初期のキャンペーンには、コールバックフィッシング攻撃の一部としてサブスクリプションキャンセルを誘う手口が含まれており、被害者のマシンにリモートアクセスソフトウェアをインストールすることを目的としていました。より最近では、2025年3月以降、グループは従来のセキュリティ制御を回避するために、社内のITヘルプデスク担当者を装うことに焦点を当てています。 ### 高速な恐喝と高価値の標的  アクセスが確立されると、**UNC3753**の攻撃者は迅速にローカルおよびクラウドディレクトリの列挙、マッピングされたネットワークドライブのクロール、および機密性の高いフォルダからのデータ収集に移ります。これには、税務申告、監査、企業の顧客契約、**Social Security numbers (SSNs)**に関連する情報が含まれます。 データの窃取は、通常、**WinSCP**または**Rclone**のようなツールを使用して行われるか、標的自身のメールボックスから攻撃者が制御するメールアドレスにデータを送信することによって達成されます。このプロセス全体は、初期連絡からデータ恐喝まで、多くの場合、単一の営業日内に完了し、データ検索、ステージング、および窃取はしばしば1時間未満で完了します。 標的環境からの退出後約30分以内に、メールで恐喝要求が送信され、交渉のために被害者に3日間の期限が与えられます。攻撃者は、盗まれた情報をデータ漏洩サイトに公開することに加えて、従業員や外部の顧客に直接連絡して侵害を通知すると脅迫することで、標的にさらなる圧力をかけます。 **Google**は、「法律事務所は、恐喝攻撃者にとって高価値の標的となります。それらは、極めて機密性の高い顧客取引ファイル、合併・買収計画、顧客の企業秘密、および企業規制報告書の集中的なリポジトリを維持しています。」と強調しています。このグループは、そのようなエンティティの評判と規制上の露出を悪用し、人間の要素を標的にすることで、堅牢な技術的境界線と**MFA**構成を効果的に回避できることを認識しています。 ### Fast Fluxによる検出回避 **Resecurity**からの補足レポートは、**UNC3753**の洗練されたインフラストラクチャに光を当てています。このグループは、ラテンアメリカ、東ヨーロッパ、中央アジア、中東/アフリカ、東アジア、カリブ海のさまざまな国で**DNS Fast Flux**ネットワークインフラストラクチャを利用しています。この技術により、`business-data-leaks[.]com`（データ漏洩サイト）や`ep6pheij[.]com`（盗まれたデータのステージングに使用）のようなドメインは、ブロックやテイクダウンが著しく困難になります。 「**DNS**レコードを変更し、短いTime-To-Live（**TTL**）値を使用することで、攻撃者は悪意のあるインフラストラクチャをテイクダウンに対して回復力のあるものにします」と、**Resecurity**は説明しました。両方のドメインは、18カ国と22の**ISP**にまたがるボットネットによってサポートされる高速フラックスネットワーク上で動作しています。注目すべきは、インフラストラクチャにはデータセンターまたはホスティングIPがゼロであり、すべてのノードはコンシューマーISPにトレースバックされ、住宅用またはモバイルIPアドレスとしてフラグが立てられており、検出と緩和の取り組みをさらに複雑にしています。