🗓️ Contexte

Rapport publié le 7 juin 2026 par BleepingComputer, basé sur une analyse de Mandiant et un avis FBI FLASH récent. L’article détaille les tactiques du groupe Silent Ransom Group (aussi suivi sous les noms UNC3753, Luna Moth, Chatty Spider) dans des campagnes actives entre janvier et mai 2026.

🎯 Cibles et motivations

Le groupe cible principalement :

  • Cabinets juridiques (law firms)
  • Services financiers
  • Services professionnels

Ces organisations sont visées pour leurs dépôts concentrés de données sensibles : dossiers de transactions clients, plans de fusions-acquisitions, secrets commerciaux, rapports réglementaires. Leur exposition réglementaire et réputationnelle les rend particulièrement vulnérables à l’extorsion.

🔗 Chaîne d’attaque

  1. Email de phishing à thème facturation, sans lien ni pièce jointe malveillante, envoyé depuis des comptes email grand public
  2. Appel téléphonique de rappel (callback phishing) : les attaquants se font passer pour le support IT interne
  3. Session de support à distance via Microsoft Teams, Zoom, Quick Assist ou Microsoft Terminal Services
  4. Installation d’outils RMM : AnyDesk, Zoho Assist, Bomgar, SuperOps — permettant l’accès initial au réseau
  5. Recherche et exfiltration de documents sensibles (contrats, dossiers fiscaux, numéros de sécurité sociale, fichiers M&A) via WinSCP ou Rclone
  6. Extorsion agressive : lettre de rançon envoyée dans les 30 minutes suivant le départ du réseau, délai de réponse de 3 jours

🌐 Infrastructure

  • Domaines de phishing imitant des portails IT internes : <organisation>-itdesk[.]com, <organisation>-it[.]com, <organisation>-helpdesk[.]com
  • Utilisation de privnote.com pour partager des liens d’installation de manière éphémère (réduction des artefacts forensiques)
  • Infrastructure DNS fast-flux basée sur des adresses IP résidentielles en Amérique latine, Europe de l’Est, Asie centrale, Moyen-Orient et Asie
  • Site de fuite de données : business-data-leaks[.]com

📋 Tactiques d’extorsion

  • Délai de 3 jours pour initier les négociations
  • En cas de non-réponse : contact direct des employés et clients externes pour les informer de la violation
  • Les lettres d’extorsion mentionnent explicitement : perte de confiance des clients, amendes réglementaires, risques de poursuites judiciaires

🏛️ Attaques physiques

Le FBI signale également des attaques en personne : des individus se faisant passer pour du personnel IT se rendent physiquement dans les bureaux pour « imager » des ordinateurs ou créer des sauvegardes tout en volant des fichiers. Mandiant considère ces attaques probablement liées à UNC3753.

📌 Historique

Actif depuis au moins 2022, le groupe était initialement lié aux syndicats Ryuk et Conti via des campagnes BazarCall. Après la dissolution de Conti en 2022, il a évolué vers des opérations autonomes de vol de données et d’extorsion, abandonnant le chiffrement ransomware traditionnel.

📰 Type d’article

Article de presse spécialisée combinant des éléments d’analyse de menace, basé sur un rapport Mandiant et un avis FBI FLASH. But principal : informer les professionnels de la sécurité sur les TTPs actuels du groupe et les secteurs ciblés.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Silent Ransom Group (cybercriminal) —

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1598.004 — Phishing for Information: Spearphishing Voice (Reconnaissance)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1219 — Remote Access Software (Command and Control)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1560 — Archive Collected Data (Collection)
  • T1048 — Exfiltration Over Alternative Protocol (Exfiltration)
  • T1567 — Exfiltration Over Web Service (Exfiltration)
  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)
  • T1568.001 — Dynamic Resolution: Fast Flux DNS (Command and Control)
  • T1657 — Financial Theft (Impact)

IOC

Malware / Outils

  • AnyDesk (tool)
  • Zoho Assist (tool)
  • Bomgar (tool)
  • SuperOps (tool)
  • WinSCP (tool)
  • Rclone (tool)

🟢 Indice de vérification factuelle : 69/100 (haute)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 7412 chars — texte complet (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ✅ 1/2 IOC(s) confirmé(s) (ThreatFox, URLhaus, VirusTotal) (8pts)
  • ✅ 11 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : Silent Ransom Group (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • business-data-leaks.com (domain) → VT (12/91 détections)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/silent-ransom-group-targets-law-firms-with-fake-it-support-calls/