Investigadores de ciberseguridad han revelado detalles de una campaña de robo de datos con motivación financiera que se dirigió a docenas de organizaciones de servicios profesionales, legales y financieros de EE. UU. entre enero y mayo de 2026.
Google Mandiant y Google Threat Intelligence Group (GTIG) atribuyen esta actividad a un actor de amenazas conocido como UNC3753, también conocido como Chatty Spider, Luna Moth y Silent Ransom Group (SRG).
«UNC3753 aprovecha las técnicas de phishing de voz (vishing) y de engaño de ingeniería social para obtener acceso remoto a entornos corporativos», dijeron los investigadores Chad Reams, Tufail Ahmed, Keith Knapp, Ashley Frazer y Tyler McLellan.
«Usando pretextos como la migración de datos o correos electrónicos relacionados con la facturación, los atacantes inician conversaciones telefónicas haciéndose pasar por soporte de TI, organizan sesiones para compartir pantalla y convencen a los objetivos para que descarguen utilidades de administración y monitoreo remoto (RMM)».
Una vez obtenido el acceso, se ha descubierto que los actores de amenazas realizan búsquedas directas para encontrar y extraer los archivos deseados, o para engañar a las víctimas para que realicen acciones en su nombre. La información robada incluye contratos legales únicos, información de identificación personal (PII) y registros financieros.
En algunos casos, los atacantes han accedido directamente a los sistemas de las víctimas, haciéndose eco de un aviso emitido por la Oficina Federal de Investigaciones (FBI) el mes pasado. Estas intrusiones físicas involucran a atacantes que se hacen pasar por técnicos de TI que ingresan a oficinas corporativas e intentan robar datos utilizando medios USB extraíbles.
El FBI dijo sobre la nueva escalada de las capacidades de UNC3753: «Los atacantes SRG extraen datos a discos duros externos o unidades USB que el actor de la amenaza inserta en la computadora de la víctima enviando a alguien directamente a la ubicación de la víctima para facilitar el compromiso».
Google dijo que UNC3753 se superpone tácticamente con UNC2686, un grupo de amenazas conocido anteriormente por ejecutar campañas estilo BazarCall en 2021. Se ha observado que el grupo implementa el ransomware LockBit Black en el pasado, pero desde 2022 se ha centrado principalmente en operaciones de extorsión, presionando a las víctimas para que paguen o se arriesguen a que sus datos se publiquen en el sitio de violación de datos LEAKEDDATA.
Se cree que tanto UNC3753 como UNC2686 son vástagos de la ahora desaparecida pandilla de ransomware Conti, que utilizó repetidamente los primeros intentos de solicitar cancelaciones de suscripciones como parte de ataques de phishing de devolución de llamadas destinados a instalar software de acceso remoto en las máquinas de las víctimas.
A partir de marzo de 2025, un grupo de piratas informáticos se hizo pasar por personal interno de la mesa de ayuda de TI corporativa y engañó a las víctimas para que participaran en sesiones de uso compartido de pantalla en plataformas de comunicaciones corporativas como Zoom, Microsoft Teams o Quick Assist, evitando efectivamente los controles de seguridad tradicionales.
«Este grupo de amenazas lanza frecuentemente campañas con correos electrónicos benignos con temas de facturas enviados desde cuentas de correo electrónico de consumidores controladas por los atacantes», dijo Google. «Estos mensajes no contienen enlaces activos ni archivos adjuntos maliciosos; en cambio, normalmente contienen mensajes breves y genéricos. El propósito principal de estos correos electrónicos es establecer un pretexto, plantear preocupaciones de seguridad interna para el objetivo y hacerlo más probable que reciba una llamada de voz de seguimiento».
Una vez establecida la sesión, el atacante intenta establecer un punto de apoyo permanente convenciendo a la víctima para que instale software de escritorio remoto legítimo, como AnyDesk, Bomgar, SuperOps RMM o Zoho Assist. Las instrucciones para instalar estos programas se comparten a través de un servicio legítimo llamado ‘privnote(.)com’. Este servicio permite a los usuarios enviar notas que desaparecen automáticamente después de que el destinatario las lee.
También se ha observado que UNC3753 penetra profundamente en los sistemas de archivos corporativos con el objetivo de establecer sesiones de Zoom directamente en las computadoras portátiles de personas específicas, acceder a la infraestructura de escritorio virtual (VDI) corporativa, enumerar directorios locales y en la nube, rastrear unidades de red mapeadas y recopilar datos de carpetas confidenciales, incluidas aquellas relacionadas con declaraciones de impuestos, auditorías, contratos de clientes corporativos y números de seguridad social (SSN).
El último paso es enviar los datos capturados al actor de la amenaza a través de WinSCP o Rclone, o desde el buzón de correo de destino a una dirección de correo electrónico controlada por el actor de la amenaza. Luego, el atacante envía una solicitud de extorsión en forma de mensaje de correo electrónico, generalmente dentro de los 30 minutos posteriores a la salida del entorno de destino.
Este mensaje de correo electrónico les da a las víctimas tres días para comenzar las negociaciones de rescate. También amenazan con notificar directamente a los empleados afectados o clientes externos sobre la violación de datos por teléfono o correo electrónico si no responden, sin mencionar la publicación de toda la información robada en sitios de violación de datos.
«Las empresas de servicios legales son objetivos de alto valor para los extorsionadores. Mantienen un depósito central de archivos de transacciones de clientes, planes de fusiones y adquisiciones, secretos comerciales de clientes e informes regulatorios corporativos altamente confidenciales», dijo Google.
«Los grupos de amenazas reconocen que las entidades legales pueden estar expuestas a una importante exposición regulatoria y de reputación, y que puede haber fuertes incentivos para resolver situaciones de extorsión silenciosamente para proteger su posición profesional. Los actores de amenazas reconocen que pueden eludir fácilmente límites técnicos sólidos, puertas de enlace de seguridad web y configuraciones de MFA al apuntar al elemento humano, particularmente mediante el uso de ingeniería social guiada por voz».
Source link
