Pesquisadores de cibersegurança do **Google Mandiant** e do **Google Threat Intelligence Group (GTIG)** revelaram detalhes de uma campanha generalizada de roubo de dados e extorsão. Esta operação, ativa entre janeiro e maio de 2026, concentrou-se em inúmeras organizações nos setores profissional, jurídico e financeiro dos EUA. A atividade é atribuída ao **UNC3753**, um ator de ameaças também identificado como **Chatty Spider**, **Luna Moth** e **Silent Ransom Group (SRG)**. Este grupo é conhecido por seu uso habilidoso de engenharia social e **vishing** (phishing por voz) para infiltrar redes corporativas. "O **UNC3753** utiliza técnicas de phishing por voz (vishing) e engano por engenharia social para obter acesso remoto a ambientes corporativos", afirmaram os pesquisadores Chad Reams, Tufail Ahmed, Keith Knapp, Ashley Frazer e Tyler McLellan em seu relatório. ### O Playbook Sofisticado do UNC3753 Os atores de ameaças iniciam o contato usando pretextos como migração de dados ou e-mails relacionados a faturas. Esses e-mails iniciais são frequentemente benignos, sem links ou anexos maliciosos, servindo principalmente para estabelecer um pretexto e aumentar as preocupações de segurança interna do alvo. Isso torna os destinatários mais receptivos a chamadas telefônicas subsequentes. Durante essas chamadas de acompanhamento, os atacantes se passam por pessoal de suporte de TI, convencendo os alvos a participar de sessões de compartilhamento de tela e baixar utilitários legítimos de monitoramento e gerenciamento remoto (**RMM**). Plataformas populares como **Zoom**, **Microsoft Teams** ou **Quick Assist** são frequentemente utilizadas para essas sessões. Após obter o acesso inicial, o **UNC3753** busca e exfiltra diretamente arquivos de interesse ou manipula a vítima para que realize essas ações em seu nome. As informações roubadas geralmente incluem acordos legais proprietários, informações de identificação pessoal (**PII**) e registros financeiros confidenciais. As instruções para instalar software RMM, como **AnyDesk**, **Bomgar**, **SuperOps RMM** ou **Zoho Assist**, são frequentemente compartilhadas por meio de serviços de mensagens efêmeras como `privnote[.]com`, garantindo que as instruções se autodestruam após serem lidas. ### Do Vishing à Intrusão Física Em uma escalada significativa de táticas, o **U.S. Federal Bureau of Investigation (FBI)** emitiu recentemente um alerta destacando instâncias em que atores do **UNC3753** acessaram os sistemas das vítimas pessoalmente. Essas intrusões físicas envolvem atores de ameaças se passando por técnicos de TI para obter acesso a escritórios corporativos e roubar dados usando mídias **USB** removíveis. "Ao enviar alguém pessoalmente ao local da vítima para facilitar a intrusão, os atores do **SRG** exfiltram dados para um disco rígido externo ou unidade **USB** inserida pelo ator de ameaças no computador da vítima", observou o **FBI**, ressaltando a natureza avançada das capacidades deste grupo. ### A Conexão Conti e Táticas em Evolução A análise do **Google** revela que o **UNC3753** compartilha sobreposições táticas com o **UNC2686**, outro cluster de ameaças conhecido por suas campanhas no estilo **BazarCall** em 2021. Acredita-se que ambos os grupos sejam ramificações da agora extinta gangue de ransomware **Conti**. Embora o **UNC3753** tenha implantado anteriormente o ransomware **LockBit Black**, suas operações mudaram predominantemente para extorsão desde 2022. As vítimas são pressionadas a pagar, ou seus dados roubados são ameaçados de publicação no site de vazamento de dados **LEAKEDDATA**. Campanhas iniciais do grupo envolviam iscas de cancelamento de assinatura como parte de ataques de phishing de callback, visando instalar software de acesso remoto nas máquinas das vítimas. Mais recentemente, desde março de 2025, o grupo se concentrou em se passar por pessoal de help desk de TI interno corporativo para contornar controles de segurança tradicionais. ### Extorsão Rápida e Alvos de Alto Valor  Uma vez que o acesso é estabelecido, os atores do **UNC3753** se movem rapidamente para enumerar diretórios locais e em nuvem, rastrear unidades de rede mapeadas e coletar dados de pastas altamente confidenciais. Isso inclui informações relacionadas a declarações fiscais, auditorias, acordos com clientes corporativos e números de **Seguro Social (SSNs)**. A exfiltração de dados é tipicamente realizada usando ferramentas como **WinSCP** ou **Rclone**, ou enviando os dados para endereços de e-mail controlados pelo ator a partir da própria caixa de correio do alvo. Todo esse processo, do contato inicial à extorsão de dados, frequentemente ocorre em um único dia útil, com buscas, preparação e roubo de dados geralmente concluídos em menos de uma hora. Em aproximadamente 30 minutos após sair do ambiente alvo, uma demanda de extorsão é enviada por e-mail, dando às vítimas um prazo de três dias para negociações. Os atores de ameaças pressionam ainda mais os alvos ameaçando contatar diretamente funcionários e clientes externos para divulgar a violação, além de publicar as informações roubadas em seu site de vazamento de dados. O **Google** enfatiza que "Escritórios de advocacia representam alvos de alto valor para atores de extorsão. Eles mantêm repositórios concentrados de arquivos de transações de clientes extremamente sensíveis, planos de fusão e aquisição, segredos comerciais de clientes e relatórios regulatórios corporativos." O grupo explora a exposição reputacional e regulatória de tais entidades, reconhecendo que mirar no elemento humano pode contornar efetivamente perímetros técnicos robustos e configurações de **MFA**. ### Evadindo Detecção com Fast Flux Um relatório complementar da **Resecurity** lança luz sobre a infraestrutura sofisticada do **UNC3753**. O grupo utiliza infraestrutura de rede **DNS Fast Flux** em vários países da América Latina, Europa Oriental, Ásia Central, Oriente Médio/África, Leste Asiático e Caribe. Essa técnica torna seus domínios, como `business-data-leaks[.]com` (seu site de vazamento de dados) e `ep6pheij[.]com` (usado para preparar dados roubados), significativamente mais difíceis de bloquear e derrubar. "Ao alterar os registros **DNS** e usar valores curtos de Time-To-Live (**TTL**), os atacantes tornam sua infraestrutura maliciosa resiliente contra derrubadas", explicou a **Resecurity**. Ambos os domínios operam em uma rede fast-flux suportada por uma botnet espalhada por 18 países e 22 **ISPs**. Notavelmente, a infraestrutura não contém IPs de data center ou de hospedagem; cada nó remonta a um ISP de consumidor e é marcado como um endereço IP residencial ou móvel, complicando ainda mais os esforços de detecção e mitigação.