Investigadores de ciberseguridad han revelado detalles de una campaña de extorsión por robo de datos con fines financieros que se ha dirigido a docenas de organizaciones de servicios profesionales, legales y financieros en los EE. UU. entre enero y mayo de 2026.
Google Mandiant y Google Threat Intelligence Group (GTIG) han atribuido la actividad a un actor de amenazas denominado UNC3753que también se conoce como Chatty Spider, Luna Moth y Silent Ransom Group (SRG).
«UNC3753 aprovecha las técnicas de phishing de voz (vishing) y de engaño de ingeniería social para lograr acceso remoto a entornos corporativos», dijeron los investigadores Chad Reams, Tufail Ahmed, Keith Knapp, Ashley Frazer y Tyler McLellan.
«Usando pretextos como la migración de datos o correos electrónicos relacionados con facturas, los actores de amenazas inician conversaciones telefónicas haciéndose pasar por soporte de TI y convencen a los objetivos para que organicen sesiones de pantalla compartida y descarguen utilidades de administración y monitoreo remoto (RMM)».
Al obtener acceso, se ha descubierto que los actores de amenazas realizan búsquedas directas para localizar y exfiltrar archivos de interés o engañan a la víctima para que lleve a cabo acciones en su nombre. La información robada incluye acuerdos legales de propiedad, información de identificación personal (PII) y registros financieros.
En algunos casos, los atacantes han accedido a los sistemas de las víctimas en persona, haciéndose eco de un aviso emitido por la Oficina Federal de Investigaciones (FBI) de Estados Unidos el mes pasado. Estas intrusiones físicas involucran a actores de amenazas que se hacen pasar por técnicos de TI para ingresar a las oficinas corporativas e intentar robar datos utilizando medios USB extraíbles.
«Al enviar a alguien en persona a la ubicación de la víctima para facilitar la intrusión, los actores SRG extraen datos a un disco duro externo o unidad USB insertada por el actor de la amenaza en la computadora de la víctima», dijo el FBI sobre la nueva escalada en las capacidades de UNC3753.
Google dijo que UNC3753 comparte superposiciones tácticas con UNC2686, un grupo de amenazas conocido anteriormente por llevar a cabo campañas estilo BazarCall en 2021. Aunque se ha observado que el grupo implementa el ransomware LockBit Black en el pasado, se ha centrado principalmente en operaciones de extorsión desde 2022, presionando a las víctimas para que paguen o se arriesguen a que sus datos se publiquen en el sitio de filtración de datos LEAKEDDATA.
Se considera que tanto UNC3753 como UNC2686 son ramificaciones de la ahora desaparecida pandilla de ransomware Conti, y las primeras iteraciones de las campañas utilizan señuelos de cancelación de suscripción como parte de ataques de phishing de devolución de llamadas que tienen como objetivo instalar software de acceso remoto en las máquinas de las víctimas.
A partir de marzo de 2025, el equipo de hackers se ha hecho pasar por personal interno de la mesa de ayuda de TI corporativa para engañar a las víctimas para que se unan a una sesión de pantalla compartida en plataformas de comunicación empresarial como Zoom, Microsoft Teams o Quick Assist con el pretexto de abordar un problema de seguridad ayudando con un proyecto de migración de datos corporativos, evitando efectivamente los controles de seguridad tradicionales.
«El grupo de amenazas frecuentemente inicia campañas utilizando señuelos de correo electrónico benignos con temas de facturas enviados desde cuentas de correo electrónico de consumidores controladas por actores», dijo Google. «Estos mensajes no contienen enlaces activos ni archivos adjuntos maliciosos. En cambio, normalmente contienen un mensaje breve y genérico. El objetivo principal de estos correos electrónicos es establecer un pretexto, lo que genera preocupaciones de seguridad interna del objetivo para que sea más susceptible a llamadas de voz de seguimiento».
Una vez que se establece una sesión, los atacantes intentan establecer un punto de apoyo persistente guiando a las víctimas para que instalen software de escritorio remoto legítimo como AnyDesk, Bomgar, SuperOps RMM o Zoho Assist. Las instrucciones para instalar estos programas se comparten a través de un servicio legítimo llamado «privnote(.)com», que permite a los usuarios enviar notas que se autodestruyen después de ser leídas por el destinatario.
También se ha observado que UNC3753 establece sesiones de Zoom directamente en las computadoras portátiles personales de los objetivos para acceder a la infraestructura de escritorio virtual (VDI) corporativa y profundizar en los sistemas de archivos corporativos con el objetivo de enumerar directorios locales y en la nube, rastrear unidades de red mapeadas y recopilar datos de carpetas altamente confidenciales, incluidas aquellas relacionadas con declaraciones de impuestos, auditorías, acuerdos con clientes corporativos y números de Seguro Social (SSN).
En la etapa final, los datos capturados se envían a los actores de la amenaza a través de WinSCP o Rclone, o a direcciones de correo electrónico controladas por el actor de la amenaza desde el buzón de correo del objetivo. A continuación, los atacantes envían una demanda de extorsión en forma de mensaje de correo electrónico, normalmente dentro de los 30 minutos posteriores a la salida del entorno de destino.
Los mensajes de correo electrónico dan a las víctimas un plazo de tres días para iniciar negociaciones de rescate. También amenazan con llamar y enviar correos electrónicos directamente a los empleados y clientes externos para notificarles sobre la violación de datos si no responden, sin mencionar publicar toda la información robada en el sitio de fuga de datos.
En muchos incidentes investigados por los equipos de inteligencia de amenazas y respuesta a incidentes de Google, se dice que la operación de extremo a extremo, desde el contacto inicial hasta la extorsión de datos, ocurrió en un solo día hábil. El modelo operativo de ritmo rápido se ejemplifica en el hecho de que los atacantes inician búsquedas, puesta en escena y robo de datos en menos de una hora.
«Las firmas de servicios legales representan objetivos de alto valor para los actores de extorsión. Mantienen depósitos concentrados de archivos de transacciones de clientes, planes de fusiones y adquisiciones, secretos comerciales de clientes e informes regulatorios corporativos extremadamente sensibles», dijo Google.
«Los grupos de amenazas reconocen que las entidades legales están sujetas a una fuerte exposición regulatoria y de reputación y pueden estar muy motivadas para resolver situaciones de extorsión silenciosamente para proteger su posición profesional. Los actores de amenazas reconocen que apuntar al elemento humano -específicamente usando ingeniería social guiada por voz- les permite eludir fácilmente perímetros técnicos robustos, puertas de enlace de seguridad web y configuraciones de MFA».
Los hallazgos coinciden con un nuevo informe de Resecurity sobre el uso por parte del actor de amenazas de la infraestructura de red DNS Fast Flux en varios países de América Latina, Europa del Este, Asia Central, Medio Oriente/África, Asia Oriental y el Caribe para hacer que sus dominios sean más difíciles de bloquear.
- business-data-leaks(.)com, el sitio de fuga de datos que enumera cerca de 100 organizaciones víctimas a partir de junio de 2026
- ep6pheij(.)com, que organiza los datos robados por víctima
«Al cambiar los registros DNS y utilizar valores cortos de tiempo de vida (TTL), los atacantes hacen que su infraestructura maliciosa sea resistente a los ataques», dijo la compañía de ciberseguridad.
«Ambos dominios operan en una red de flujo rápido respaldada por una botnet distribuida en 18 países y 22 ISP. Los dos dominios comparten entre el 50% y el 60% de su grupo de bots, lo que confirma que un solo actor de amenazas opera ambos. La infraestructura no contiene ningún centro de datos o IP de alojamiento: cada nodo se remonta a un ISP de consumidor (por ejemplo, Telecentro, Mega Cable, Vodafone) y está marcado como dirección IP residencial o móvil».