Le groupe de rançongiciel Silent Ransom Group cible activement des cabinets d’avocats et des sociétés de services professionnels aux États-Unis, selon un nouveau rapport de la firme de cybersécurité Mandiant. Ces attaques d’ingénierie sociale aboutissent souvent à un vol de données quelques heures après le premier contact.
Ce rapport fait suite à une alerte du FBI publiée la semaine dernière. L’agence fédérale avertissait que le groupe ciblait des cabinets juridiques américains avec des attaques d’ingénierie sociale et même des vols de données en personne. Mandiant apporte maintenant des détails techniques supplémentaires sur la manière dont ces intrusions sont menées.
Mandiant indique que ce groupe de menaces, également identifié sous les noms UNC3753, Luna Moth et Chatty Spider, a pris pour cible des dizaines d’organisations dans les secteurs juridique, financier et des services professionnels entre janvier et mai 2026.
Les cabinets d’avocats constituent des cibles particulièrement attrayantes, car ils détiennent de grands volumes d’informations client très sensibles. Ils peuvent aussi se sentir forcés de régler rapidement les incidents d’extorsion pour éviter des dommages réputationnels et réglementaires.
Les chercheurs expliquent que les attaques commencent par des courriels de phishing ayant pour thème des factures, envoyés depuis des comptes de messagerie grand public. Ces courriels ne contiennent pas de liens ou de pièces jointes malveillants. Ils servent de précurseur à des appels téléphoniques de suivi, où les attaquants se font passer pour des membres du service informatique de l’entreprise.
Cette technique d’appel en retour existe depuis plusieurs années. Ces acteurs de la menace l’avaient déjà utilisée dans des campagnes d’ingénierie sociale liées aux rançongiciels Ryuk et Conti. Dans la campagne actuelle, le Silent Ransom Group imite des centres d’assistance informatique et persuade des employés de rejoindre des sessions de support à distance via Microsoft Teams, Zoom, Quick Assist ou Microsoft Terminal Services.
Durant ces sessions, les pirates trompent la cible pour qu’elle installe des outils de surveillance et de gestion à distance comme AnyDesk, Zoho Assist, Bomgar ou SuperOps. Ils obtiennent ainsi un accès initial au réseau d’entreprise.
Mandiant a aussi découvert des domaines de phishing liés à la campagne. Ces domaines imitent des portails informatiques internes en utilisant des motifs comme « itdesk[.]com », « it[.]com » ou « helpdesk[.]com ».
Les chercheurs affirment que les pirates utilisent également le service privnote[.]com, un service de messagerie à auto-destruction, pour partager des liens d’installation et des commandes avec leurs cibles pendant les sessions de support à distance. Cette tactique réduit les artefacts laissés dans l’historique des navigateurs ou les journaux de discussion d’entreprise.
Une fois à l’intérieur d’un réseau, le groupe recherche des documents juridiques et financiers sensibles, comme des contrats, des relevés fiscaux, des numéros de sécurité sociale et des dossiers de fusion-acquisition. Les attaquants ciblent fréquemment des plateformes de gestion de documents et des dépôts de stockage en cloud avant d’exfiltrer les données avec des outils comme WinSCP ou Rclone.
L’opération d’extorsion est très agressive. Les demandes de rançon arrivent souvent moins de trente minutes après le départ des pirates de l’environnement victime. Ces lettres d’extorsion donnent aux organisations un délai de trois jours pour répondre et engager des négociations. Si l’organisation victime ne répond pas, les pirates menacent d’appeler et d’envoyer des courriels directement aux employés et aux clients externes pour les alerter de la fuite de données.
Le rapport mentionne aussi l’alerte récente du FBI, où les forces de l’ordre avertissaient que le Silent Ransom Group visait des cabinets d’avocats américains avec des vols de données en personne. Selon le FBI, les attaquants imitent du personnel informatique interne par téléphone et courriel, puis tentent d’obtenir un accès à distance ou de se rendre physiquement dans les bureaux pour « imager » des ordinateurs ou créer des sauvegardes tout en volant des fichiers.
Mandiant dispose de preuves médico-légales limitées, mais les chercheurs pensent que ces attaques en personne sont probablement liées à UNC3753, en raison de similitudes dans le ciblage, les calendriers et le mode opératoire.
Le Silent Ransom Group est actif depuis au moins 2022, époque où il faisait partie du syndicat cybercriminel Ryuk et Conti. Les acteurs de la menace étaient auparavant associés à des campagnes de phishing par rappel qui donnaient un accès initial dans des attaques des rançongiciels Conti et Ryuk.
Après la dissolution du syndicat Conti en 2022, le groupe est passé à des opérations autonomes de vol de données et d’extorsion sous la marque Silent Ransom Group. Les chercheurs affirment que le groupe ne dépend plus du chiffrement traditionnel par rançongiciel. Il se concentre entièrement sur l’extorsion par vol de données, où il dérobe des données sensibles et fait pression sur les victimes pour qu’elles paient afin d’éviter des fuites.
Un rapport distinct publié cette semaine par Resecurity révèle que le gang exploite aussi une infrastructure à flux rapide pour dissimuler et protéger ses plateformes de fuite de données. La méthode du flux DNS rapide consiste à faire tourner constamment les adresses IP d’un domaine via un large pool d’appareils compromis. Cela permet de masquer l’infrastructure et rend les fermetures ou les blocages bien plus difficiles.
Selon l’entreprise, cette infrastructure utilise des adresses IP résidentielles dans plusieurs pays et auprès de différents fournisseurs d’accès à internet pour compliquer les fermetures. Resecurity précise que le site de fuite « business-data-leaks[.]com » du groupe et son infrastructure associée s’appuient sur des réseaux de proxys résidentiels répartis en Amérique latine, en Europe de l’Est, en Asie centrale, au Moyen-Orient et en Asie. Les chercheurs ont aussi lié cette infrastructure à d’autres services et domaines liés à la cybercriminalité.
Pour se défendre contre ces attaques, Mandiant et le FBI recommandent de mettre en place des procédures de vérification strictes pour les interactions avec le support informatique, de limiter les outils d’accès à distance, d’appliquer l’authentification multifacteur, de restreindre l’utilisation des périphériques de stockage USB et de former les employés à reconnaître les tentatives de hameçonnage vocal.