De Silent Ransom Group, een afpersingsgroep, richt zich actief op Amerikaanse advocatenkantoren en professionele dienstverleners met social engineering-aanvallen die vaak binnen enkele uren na het eerste contact leiden tot datadiefstal. Dit blijkt uit een recent rapport van cybersecuritybedrijf Mandiant.

Het rapport volgt op een FBI FLASH-waarschuwing van vorige week, waarin werd gemeld dat de groep advocatenkantoren in de Verenigde Staten doelwit is van social engineering en zelfs fysieke datadiefstal. Mandiant geeft nu aanvullende technische details over de werkwijze van de aanvallers. De groep, ook bekend onder de namen UNC3753, Luna Moth en Chatty Spider, heeft tussen januari en mei 2026 tientallen organisaties in de juridische, financiële en professionele sectoren aangevallen.

Advocatenkantoren zijn aantrekkelijke doelen vanwege de grote hoeveelheid gevoelige klantinformatie die zij bewaren en de druk om afpersingsincidenten snel en stilletjes op te lossen om reputatieschade en juridische gevolgen te voorkomen. Zoals Mandiant uitlegt, bevatten deze kantoren geconcentreerde verzamelingen van vertrouwelijke documenten zoals klanttransacties, fusie- en overnameplannen, handelsgeheimen en rapportages voor toezichthouders.

De aanvallen beginnen met phishingmails die factuurgerelateerd zijn en afkomstig lijken van consumentenaccounts. Deze e-mails bevatten geen kwaadaardige links of bijlagen, maar dienen als voorbereiding op telefoongesprekken waarin de aanvallers zich voordoen als IT-medewerkers van het bedrijf. Deze methode van aanvallen via telefoongesprekken wordt al jaren ingezet, onder andere in eerdere BazarCall-campagnes die verbonden waren aan Ryuk- en Conti-ransomware.

Bij deze zogenoemde callback phishing-aanvallen sturen de aanvallers ogenschijnlijk onschuldige e-mails met IT-gerelateerde waarschuwingen, die de ontvanger aansporen om terug te bellen naar een meegegeven telefoonnummer. In de huidige campagne doen de aanvallers zich voor als helpdeskmedewerkers en overtuigen zij medewerkers om via Microsoft Teams, Zoom, Quick Assist of Microsoft Terminal Services een sessie voor externe ondersteuning te starten. Tijdens deze sessies worden slachtoffers misleid om remote monitoring- en managementtools zoals AnyDesk, Zoho Assist, Bomgar of SuperOps te installeren, waarmee de aanvallers toegang krijgen tot het bedrijfsnetwerk.

Mandiant ontdekte ook phishingdomeinen die interne IT-portalen imiteren met namen als <organisatie>-itdesk[.]com, <organisatie>-it[.]com en <organisatie>-helpdesk[.]com. Daarnaast maken de aanvallers gebruik van privnote[.]com, een dienst voor zelfvernietigende berichten, om installatie-links en commando’s te delen tijdens de sessies. Deze tactiek vermindert sporen in browsergeschiedenis en chatlogs.

Eenmaal binnen het netwerk zoeken de aanvallers naar gevoelige juridische en financiële documenten, waaronder contracten, belastinggegevens, sofinummers en fusie- of overnamedossiers. Ze richten zich vaak op documentbeheersystemen en cloudopslag en exfiltreren data met tools als WinSCP of Rclone. De afpersingspraktijk is zeer agressief; vaak volgt binnen 30 minuten na het verlaten van het slachtoffer een eis tot losgeld, met een deadline van drie dagen om te reageren en onderhandelingen te starten. Bij uitblijven van reactie dreigen de aanvallers met het contacteren van medewerkers en externe contacten.