Silent Ransom Group : infrastructure DNS Fast Flux et botnet résidentiel mondial dévoilés

🔍 Contexte

Publié le 5 juin 2026 par Resecurity, ce rapport de threat intelligence détaille l’infrastructure technique du Silent Ransom Group (SRG), également connu sous les alias Luna Moth, Chatty Spider et UNC3753. Le groupe est actif depuis au moins 2022 et se spécialise dans le vol de données et l’extorsion sans chiffrement.

🎯 Cibles et secteurs visés

Le SRG cible prioritairement :

Cabinets d’avocats (AmLaw 100, au moins 38 firmes compromises)
Prestataires de services comptables
Secteurs santé, hôtellerie, finance et assurance

Les cabinets juridiques représentent près d’un quart des incidents ransomware du Q1 2026, faisant du secteur légal le 4e secteur le plus ciblé.

🛠️ Tactiques d’attaque

Callback phishing / vishing : usurpation d’identité de support IT (Duolingo, Masterclass)
Infiltration physique : envoi d’opérateurs dans les locaux des victimes déguisés en techniciens IT
Vol de données et extorsion : sans ransomware chiffrant, contournant les sauvegardes
Exploitation de la supply chain : compromission via fournisseurs tiers
Pression persistante : contacts directs répétés avec les employés pour forcer la négociation

🌐 Infrastructure DNS Fast Flux

Resecurity est le premier à documenter l’infrastructure Fast Flux du SRG :

Deux domaines principaux : ep6pheij[.]com et business-data-leaks[.]com
Rotation des enregistrements DNS A toutes les 2-3 minutes
10 à 18 adresses IP simultanées par réponse DNS
100% d’IPs résidentielles (aucune IP datacenter)
Botnet couvrant 18 pays et 22 FAI (Telecentro, Mega Cable, Vodafone, etc.)
50-60% de pool de bots partagé entre les deux domaines, confirmant un opérateur unique
Concentration géographique : 50% Amérique latine, 12,5% Balkans/Europe de l’Est, 12,5% Moyen-Orient/Afrique

🗂️ Site de fuite de données (DLS)

DLS Clearnet : business-data-leaks[.]com (anciennement brandé “LeakedData” depuis décembre 2024)
Mécanisme de token CSRF pour éviter le scraping automatisé
Redirection vers ep6pheij[.]com/[Victim_Name]/ pour les données volées
Près de 100 organisations victimes répertoriées au juin 2026
Enregistrement via WebNic.cc (Web Commerce Communications Limited)
Serveurs de noms Fast Flux : heopldenticalderr[.]org et hefirealde[.]org

🔗 Projet connexe : Spy Corporate

Un projet lié nommé Spy Corporate (spycorp[.]pro), apparu en mai 2026, partage les mêmes IPs en rotation que l’infrastructure SRG, confirmant une connexion directe. Enregistré également via WebNic.cc avec les nameservers digoprotergonde[.]org.

🔗 Liens avec d’autres infrastructures criminelles

Certaines IPs du Fast Flux ont été précédemment associées à :

CVV Union : carding shop
Omerta : forum dark web de fraude à la carte bancaire et PII

📄 Type d’article

Il s’agit d’une publication de recherche en threat intelligence produite par Resecurity, visant à exposer l’infrastructure technique du SRG et à fournir des IOCs exploitables aux équipes de sécurité, FAI et fournisseurs DNS.

🧠 TTPs et IOCs détectés

Acteurs de menace

Silent Ransom Group (cybercriminal) —
Luna Moth (cybercriminal) — orkl.eu · Malpedia
UNC3753 (cybercriminal) —
Gamaredon (state-sponsored) — orkl.eu · Malpedia

TTP

T1566.004 — Phishing: Spearphishing Voice (Initial Access)
T1598.004 — Phishing for Information: Spearphishing Voice (Reconnaissance)
T1078 — Valid Accounts (Defense Evasion)
T1534 — Internal Spearphishing (Lateral Movement)
T1041 — Exfiltration Over C2 Channel (Exfiltration)
T1657 — Financial Theft (Impact)
T1486 — Data Encrypted for Impact (Impact)
T1491 — Defacement (Impact)
T1583.001 — Acquire Infrastructure: Domains (Resource Development)
T1568.001 — Dynamic Resolution: Fast Flux DNS (Command and Control)
T1090.004 — Proxy: Domain Fronting (Command and Control)
T1195 — Supply Chain Compromise (Initial Access)
T1589 — Gather Victim Identity Information (Reconnaissance)

IOC

IPv4 : 63.143.98.185 — AbuseIPDB · VT · ThreatFox
IPv4 : 95.86.30.3 — AbuseIPDB · VT · ThreatFox
IPv4 : 95.178.198.144 — AbuseIPDB · VT · ThreatFox
IPv4 : 95.178.213.100 — AbuseIPDB · VT · ThreatFox
IPv4 : 123.214.62.28 — AbuseIPDB · VT · ThreatFox
IPv4 : 130.204.1.83 — AbuseIPDB · VT · ThreatFox
IPv4 : 159.0.229.102 — AbuseIPDB · VT · ThreatFox
IPv4 : 161.132.94.226 — AbuseIPDB · VT · ThreatFox
IPv4 : 177.222.41.236 — AbuseIPDB · VT · ThreatFox
IPv4 : 179.52.106.82 — AbuseIPDB · VT · ThreatFox
IPv4 : 186.23.249.254 — AbuseIPDB · VT · ThreatFox
IPv4 : 186.101.193.110 — AbuseIPDB · VT · ThreatFox
IPv4 : 187.199.140.132 — AbuseIPDB · VT · ThreatFox
IPv4 : 187.228.100.237 — AbuseIPDB · VT · ThreatFox
IPv4 : 189.195.132.134 — AbuseIPDB · VT · ThreatFox
IPv4 : 190.16.5.248 — AbuseIPDB · VT · ThreatFox
IPv4 : 190.140.81.252 — AbuseIPDB · VT · ThreatFox
IPv4 : 190.147.128.172 — AbuseIPDB · VT · ThreatFox
IPv4 : 190.147.200.151 — AbuseIPDB · VT · ThreatFox
IPv4 : 190.224.203.37 — AbuseIPDB · VT · ThreatFox
IPv4 : 190.249.139.21 — AbuseIPDB · VT · ThreatFox
IPv4 : 195.158.3.172 — AbuseIPDB · VT · ThreatFox
IPv4 : 197.44.54.74 — AbuseIPDB · VT · ThreatFox
IPv4 : 197.134.192.101 — AbuseIPDB · VT · ThreatFox
IPv4 : 201.191.99.134 — AbuseIPDB · VT · ThreatFox
IPv4 : 211.202.224.10 — AbuseIPDB · VT · ThreatFox
IPv4 : 212.112.110.243 — AbuseIPDB · VT · ThreatFox
IPv4 : 41.225.239.178 — AbuseIPDB · VT · ThreatFox
Domaines : business-data-leaks.com — VT · URLhaus · ThreatFox
Domaines : ep6pheij.com — VT · URLhaus · ThreatFox
Domaines : spycorp.pro — VT · URLhaus · ThreatFox
Domaines : heopldenticalderr.org — VT · URLhaus · ThreatFox
Domaines : hefirealde.org — VT · URLhaus · ThreatFox
Domaines : digoprotergonde.org — VT · URLhaus · ThreatFox
Domaines : mywebb.at — VT · URLhaus · ThreatFox
Domaines : lpclusertreyls.com — VT · URLhaus · ThreatFox
Domaines : tg-auth.com — VT · URLhaus · ThreatFox
Domaines : helpsscodds.in — VT · URLhaus · ThreatFox
Domaines : bitwinzz.com — VT · URLhaus · ThreatFox
Domaines : booksandsongs.at — VT · URLhaus · ThreatFox
Domaines : omerta.cc — VT · URLhaus · ThreatFox
Domaines : cvv-union.at — VT · URLhaus · ThreatFox
Domaines : union-shop.at — VT · URLhaus · ThreatFox
Domaines : arculusupgrade.net — VT · URLhaus · ThreatFox
Domaines : arculussupport.com — VT · URLhaus · ThreatFox
Domaines : arculushub.com — VT · URLhaus · ThreatFox
Domaines : arculusdefi.com — VT · URLhaus · ThreatFox
Domaines : arculus.in — VT · URLhaus · ThreatFox
Domaines : arculufi.com — VT · URLhaus · ThreatFox
Domaines : onioploverans.at — VT · URLhaus · ThreatFox
Domaines : newolymp.ru — VT · URLhaus · ThreatFox
Domaines : tisv6ma68f.com — VT · URLhaus · ThreatFox
Domaines : baiakmma.com — VT · URLhaus · ThreatFox
Domaines : bug6skv6dw.com — VT · URLhaus · ThreatFox
Domaines : hcw2wytgpo.com — VT · URLhaus · ThreatFox
Domaines : 4nhaarmgex.com — VT · URLhaus · ThreatFox
Domaines : niksplus.ru — VT · URLhaus · ThreatFox
Domaines : qiweassa.com — VT · URLhaus · ThreatFox
Domaines : morfiuscc.pro — VT · URLhaus · ThreatFox
Domaines : d-s-p.ru — VT · URLhaus · ThreatFox
Domaines : obozintsev.ru — VT · URLhaus · ThreatFox
Domaines : frixes.life — VT · URLhaus · ThreatFox
Domaines : defgyma.com — VT · URLhaus · ThreatFox
Domaines : liverds.at — VT · URLhaus · ThreatFox
Domaines : 192204-coinbase.com — VT · URLhaus · ThreatFox
Domaines : unicea.ws — VT · URLhaus · ThreatFox
Domaines : riskarbs.com — VT · URLhaus · ThreatFox
Domaines : tnc-corp.ru — VT · URLhaus · ThreatFox
Domaines : nwgrus.ru — VT · URLhaus · ThreatFox
Domaines : mzxn.ru — VT · URLhaus · ThreatFox
Domaines : epohe.ru — VT · URLhaus · ThreatFox
Domaines : yosoborno.com — VT · URLhaus · ThreatFox
Domaines : 100xmargin.com — VT · URLhaus · ThreatFox
Domaines : gebeus.ru — VT · URLhaus · ThreatFox
Domaines : llcbc.org — VT · URLhaus · ThreatFox
Domaines : jkshb.su — VT · URLhaus · ThreatFox
Domaines : movlat.com — VT · URLhaus · ThreatFox
Domaines : selltix.org — VT · URLhaus · ThreatFox
Domaines : guteyr.cc — VT · URLhaus · ThreatFox
Domaines : cellc.org — VT · URLhaus · ThreatFox
Domaines : dbfhns.in — VT · URLhaus · ThreatFox
Domaines : bipto.org — VT · URLhaus · ThreatFox
Domaines : benfoks.ru — VT · URLhaus · ThreatFox
Domaines : 1xst.ru — VT · URLhaus · ThreatFox
Domaines : sktice.com — VT · URLhaus · ThreatFox
Domaines : cajgtus.com — VT · URLhaus · ThreatFox
Domaines : sdfjhuz.com — VT · URLhaus · ThreatFox
Domaines : tech-servers.in.net — VT · URLhaus · ThreatFox
Domaines : olihonols.in.net — VT · URLhaus · ThreatFox
Domaines : check-ftp.ru — VT · URLhaus · ThreatFox
URLs : http://business-data-leaks.com/downloader/?csrfmiddlewaretoken=D7BGd0OyFdqGTJytqrYmjMEVVCQ82NVnxE2AT2DGf9kDn8GHakYpDfyxz5RH7fY8&who=658ce0babe23aa3d1fe1c4f90 — URLhaus
URLs : http://spycorp.pro/get-link/?q=d7cf169127fe39dd1aa3d0479fcc0876 — URLhaus

🟢 Indice de vérification factuelle : 70/100 (haute)

⬜ resecurity.com — source non référencée (0pts)
✅ 36342 chars — texte complet (fulltext extrait) (15pts)
✅ 92 IOCs (IPs/domaines/CVEs) (10pts)
✅ 4/8 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (15pts)
✅ 13 TTPs MITRE identifiées (15pts)
✅ date extraite du HTML source (10pts)
✅ acteur(s) identifié(s) : Silent Ransom Group, Luna Moth, UNC3753 (5pts)
⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

95.86.30.3 (ip) → VT (8/91 détections)
business-data-leaks.com (domain) → VT (6/91 détections)
ep6pheij.com (domain) → VT (6/91 détections)
spycorp.pro (domain) → VT (10/91 détections)

🔗 Source originale : https://www.resecurity.com/blog/article/silent-ransom-group-srg-uncovering-dns-fast-flux-infrastructure

🔍 Contexte#

🎯 Cibles et secteurs visés#

🛠️ Tactiques d’attaque#

🌐 Infrastructure DNS Fast Flux#

🗂️ Site de fuite de données (DLS)#

🔗 Projet connexe : Spy Corporate#

🔗 Liens avec d’autres infrastructures criminelles#

📄 Type d’article#

🧠 TTPs et IOCs détectés#

Acteurs de menace#

TTP#

IOC#

🟢 Indice de vérification factuelle : 70/100 (haute)#