Le groupe Silent Ransom cible des cabinets d'avocats américains via l'ingénierie sociale et des interventions physiques sur site

🔍 Contexte

Ce document est un Flash FBI (FLASH-20260526-01), publié le 26 mai 2026, coordonné avec DHS/CISA, classifié TLP:CLEAR. Il porte sur les activités récentes du groupe Silent Ransom Group (SRG), également connu sous les alias Luna Moth, Chatty Spider et UNC3753.

🎯 Acteur de menace

SRG est actif depuis au moins 2022. Le groupe se spécialise dans le vol de données et l’extorsion sans chiffrement (pas de ransomware traditionnel). Depuis le printemps 2023, il cible de manière persistante les cabinets d’avocats américains, tout en ayant également victimisé des entreprises dans les secteurs de l’assurance, de la finance et de la santé.

🛠️ Modes opératoires

Depuis le printemps 2026, SRG a évolué vers un schéma d’usurpation d’identité IT :

• Appels directs ou emails de phishing incitant les employés à contacter un faux support IT
• Prise de contrôle via session bureau à distance (outils légitimes de télégestion)
• En cas d’échec, envoi physique d’un individu sur site pour insérer un dispositif de stockage (USB/disque externe)
• Exfiltration via WinSCP, Rclone (caché ou renommé), Google Drive, Microsoft OneDrive, ou support physique
• Extorsion par email menaçant de publier ou vendre les données sur leur site business-data-leaks[.]com
• Pression supplémentaire via appels aux employés ou clients de la victime

📋 Indicateurs de compromission notables

• Téléchargements non autorisés de : Zoho Assist, Quick Assist, AnyDesk, RustDesk, Syncro, Splashtop, Atera
• Connexions WinSCP ou Rclone vers des IP externes
• Exfiltration vers OneDrive, Google Drive ou serveurs externes
• Installation non autorisée de disques durs externes ou clés USB
• Individus non identifiés se présentant comme support IT

📌 Type et objectif

Ce document est une alerte de sécurité émise par le FBI pour informer les organisations, notamment les cabinets juridiques, des tactiques actuelles de SRG et faciliter le partage d’informations avec les autorités.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Silent Ransom Group (cybercriminal) —

TTP

• T1566 — Phishing (Initial Access)
• T1598.004 — Phishing for Information: Voice Phishing (Reconnaissance)
• T1219 — Remote Access Software (Command and Control)
• T1078 — Valid Accounts (Defense Evasion)
• T1560 — Archive Collected Data (Collection)
• T1530 — Data from Cloud Storage Object (Collection)
• T1567 — Exfiltration Over Web Service (Exfiltration)
• T1052.001 — Exfiltration over Physical Medium: Exfiltration to Removable Media (Exfiltration)
• T1657 — Financial Theft (Impact)

IOC

• Domaines : business-data-leaks.com — VT · URLhaus · ThreatFox

Malware / Outils

• WinSCP (tool)
• Rclone (tool)
• Zoho Assist (rat)
• Quick Assist (rat)
• AnyDesk (rat)
• RustDesk (rat)
• Syncro (rat)
• Splashtop (rat)
• Atera (rat)

🟢 Indice de vérification factuelle : 79/100 (haute)

• ✅ ic3.gov — source reconnue (liste interne) (20pts)
• ✅ 9866 chars — texte complet (fulltext extrait) (15pts)
• ✅ 1 IOC(s) (6pts)
• ✅ 1/1 IOC(s) confirmé(s) (ThreatFox, URLhaus, VirusTotal) (8pts)
• ✅ 9 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : Silent Ransom Group (5pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• business-data-leaks.com (domain) → VT (6/91 détections)

🔗 Source originale : https://www.ic3.gov/CSA/2026/260526.pdf