Cybersecurity-onderzoekers hebben details bekendgemaakt van een financieel gemotiveerde afpersingscampagne voor gegevensdiefstal die zich tussen januari en mei 2026 richtte op tientallen organisaties in de professionele, juridische en financiële dienstverlening in de VS.
De activiteit is door Google Mandiant en Google Threat Intelligence Group (GTIG) toegeschreven aan een zogenaamde dreigingsacteur UNC3753ook bekend als Chatty Spider, Luna Moth en Silent Ransom Group (SRG).
“UNC3753 maakt gebruik van voice phishing (vishing) en social engineering-misleidingstechnieken om externe toegang tot bedrijfsomgevingen te verkrijgen”, aldus onderzoekers Chad Reams, Tufail Ahmed, Keith Knapp, Ashley Frazer en Tyler McLellan.
“Met behulp van voorwendsels zoals datamigratie of factuurgerelateerde e-mails initiëren de bedreigingsactoren telefoongesprekken die zich voordoen als IT-ondersteuning en overtuigen ze doelwitten om sessies voor het delen van schermen te organiseren en hulpprogramma’s voor monitoring en beheer op afstand (RMM) te downloaden.”
Bij het verkrijgen van toegang blijken de dreigingsactoren directe zoekopdrachten uit te voeren om interessante bestanden te lokaliseren en te exfiltreren, of het slachtoffer te misleiden om de acties namens hen uit te voeren. Gestolen informatie omvat onder meer bedrijfseigen juridische overeenkomsten, persoonlijk identificeerbare informatie (PII) en financiële gegevens.
In sommige gevallen hebben de aanvallers persoonlijk toegang gekregen tot de systemen van slachtoffers, in navolging van een advies van het Amerikaanse Federal Bureau of Investigation (FBI) vorige maand. Bij deze fysieke inbraken zijn de bedreigingsactoren betrokken die zich voordoen als IT-technici om bedrijfskantoren binnen te dringen en te proberen gegevens te stelen met behulp van verwisselbare USB-media.
“Door iemand persoonlijk naar de locatie van het slachtoffer te sturen om de inbraak te vergemakkelijken, exfiltreren SRG-actoren gegevens naar een externe harde schijf of USB-stick die door de bedreigingsacteur in de computer van het slachtoffer is geplaatst”, zei de FBI over de nieuwe escalatie van de mogelijkheden van UNC3753.
Google zei dat UNC3753 tactische overlappingen deelt met UNC2686, een dreigingscluster dat eerder bekend stond om het uitvoeren van campagnes in BazarCall-stijl in 2021. Hoewel de groep in het verleden de LockBit Black-ransomware heeft ingezet, heeft de groep zich sinds 2022 vooral gericht op afpersingsoperaties, waarbij slachtoffers onder druk worden gezet om te betalen, anders lopen ze het risico dat hun gegevens worden gepubliceerd op de dataleksite LEAKEDDATA.
Zowel UNC3753 als UNC2686 worden beschouwd als uitlopers van de inmiddels ter ziele gegane Conti-ransomwarebende, waarbij vroege herhalingen van de campagnes gebruikmaken van lokmiddelen voor het opzeggen van abonnementen als onderdeel van callback-phishing-aanvallen die tot doel hebben software voor externe toegang op de machines van slachtoffers te installeren.
Vanaf maart 2025 heeft de hackploeg zich voorgedaan als het interne IT-helpdeskpersoneel van het bedrijf om slachtoffers te misleiden om deel te nemen aan een sessie voor het delen van schermen op bedrijfscommunicatieplatforms zoals Zoom, Microsoft Teams of Quick Assist, waardoor traditionele beveiligingscontroles effectief worden omzeild.
“De dreigingsgroep initialiseert regelmatig campagnes met behulp van goedaardige e-mails met factuurthema, verzonden vanaf door actoren gecontroleerde e-mailaccounts van consumenten”, aldus Google. “Deze berichten bevatten geen actieve links of kwaadaardige bijlagen. In plaats daarvan bevatten ze doorgaans een kort, algemeen bericht. Het primaire doel van deze e-mails is om een voorwendsel te creëren, waardoor de interne veiligheidsproblemen van het doelwit worden geuit, zodat ze vatbaarder zijn voor vervolgoproepen.”
Zodra een sessie tot stand is gebracht, proberen de aanvallers vaste voet aan de grond te krijgen door de slachtoffers te begeleiden bij het installeren van legitieme externe desktopsoftware zoals AnyDesk, Bomgar, SuperOps RMM of Zoho Assist. Instructies om deze programma’s te installeren worden gedeeld via een legitieme service genaamd “privnote(.)com”, waarmee gebruikers notities kunnen verzenden die zichzelf vernietigen nadat ze door de ontvanger zijn gelezen.
Er is ook waargenomen dat UNC3753 Zoom-sessies rechtstreeks op de persoonlijke laptops van doelwitten opzet om toegang te krijgen tot de virtuele desktopinfrastructuur (VDI) van het bedrijf en dieper in bedrijfsbestandssystemen te graven met als doel het opsommen van lokale en clouddirectory’s, het crawlen van toegewezen netwerkschijven en het verzamelen van gegevens uit zeer gevoelige mappen, waaronder mappen die verband houden met belastingaangiften, audits, zakelijke klantovereenkomsten en burgerservicenummers (SSN’s).
In de laatste fase worden de vastgelegde gegevens via WinSCP of Rclone naar de bedreigingsactoren verzonden, of naar e-mailadressen die door de bedreigingsacteur worden beheerd vanuit de mailbox van het doelwit. Dit wordt gevolgd door het versturen van een afpersingsverzoek in de vorm van een e-mailbericht, doorgaans binnen 30 minuten na het verlaten van de doelomgeving.
De e-mailberichten geven slachtoffers een termijn van drie dagen om onderhandelingen over losgeld te starten. Ze dreigen ook om werknemers en externe klanten rechtstreeks te bellen en te e-mailen om hen op de hoogte te stellen van het datalek als ze niet reageren, om nog maar te zwijgen van het publiceren van de volledige gestolen informatie op de dataleksite.
“Juridische dienstverleners vertegenwoordigen waardevolle doelwitten voor afpersingsactoren. Ze onderhouden geconcentreerde opslagplaatsen van uiterst gevoelige klanttransactiebestanden, fusie- en overnameplannen, bedrijfsgeheimen van klanten en bedrijfsrapporten”, aldus Google.
“Dreigingsgroepen erkennen dat juridische entiteiten onderhevig zijn aan zware reputatie- en regelgevingsrisico’s en zeer gemotiveerd kunnen zijn om afpersingssituaties stilletjes op te lossen om hun professionele status te beschermen. Bedreigingsactoren erkennen dat het richten op het menselijke element – met name door gebruik te maken van spraakgestuurde social engineering – hen in staat stelt om eenvoudig robuuste technische perimeters, webbeveiligingsgateways en MFA-configuraties te omzeilen.”
