Cybersecurityonderzoekers hebben details bekendgemaakt over een financieel gemotiveerde datadiefstal- en afpersingscampagne die tussen januari en mei 2026 tientallen organisaties in de Verenigde Staten heeft getroffen, voornamelijk in de professionele, juridische en financiële dienstverlening. De campagne wordt toegeschreven aan de dreigingsactor UNC3753, ook bekend als Chatty Spider, Luna Moth en Silent Ransom Group (SRG), volgens onderzoekers van Google Mandiant en de Google Threat Intelligence Group (GTIG) zoals zij melden.

UNC3753 maakt gebruik van voice phishing (vishing) en social engineering om op afstand toegang te krijgen tot bedrijfsomgevingen. Met voorwendselen zoals datamigratie of factuurgerelateerde e-mails nemen de aanvallers telefonisch contact op, doen zich voor als IT-ondersteuning en overtuigen slachtoffers om schermdeling te starten en software voor remote monitoring en beheer (RMM) te installeren. Na toegang zoeken de aanvallers gericht naar waardevolle bestanden of misleiden zij slachtoffers om handelingen namens hen uit te voeren. Gestolen gegevens omvatten onder meer vertrouwelijke juridische overeenkomsten, persoonsgegevens en financiële documenten.

In sommige gevallen hebben de aanvallers fysieke toegang tot systemen verkregen, een tactiek die aansluit bij een waarschuwing van de Amerikaanse FBI vorige maand. Hierbij doen de aanvallers zich voor als IT-technici om kantoren binnen te komen en data te stelen via verwisselbare USB-dragers. De FBI meldt dat deze fysieke inbraken een nieuwe escalatie in de capaciteiten van UNC3753 vormen, waarbij data wordt geëxfiltreerd naar externe harde schijven of USB-sticks die door de aanvallers in de systemen worden geplaatst.

Google stelt dat UNC3753 tactische overeenkomsten vertoont met UNC2686, een groep die in 2021 BazarCall-achtige campagnes uitvoerde. Hoewel UNC3753 in het verleden LockBit Black ransomware heeft ingezet, richt de groep zich sinds 2022 vooral op afpersing zonder ransomware, waarbij slachtoffers worden onder druk gezet om te betalen om publicatie van hun data op de LEAKEDDATA-site te voorkomen. Beide groepen worden gezien als afsplitsingen van de inmiddels opgeheven Conti-ransomwarebende, met vroege campagnes die gebruikmaakten van phishing met terugbelverzoeken en het installeren van remote access software.

Vanaf maart 2025 imiteert de groep interne IT-helpdeskmedewerkers om slachtoffers te verleiden tot schermdeling via platforms als Zoom, Microsoft Teams of Quick Assist, waarmee traditionele beveiligingsmaatregelen worden omzeild. De aanvallen beginnen vaak met onschuldige factuur-e-mails zonder links of bijlagen, bedoeld om een voorwendsel te creëren en de ontvanger ontvankelijk te maken voor een vervolgtelefoontje. Tijdens de sessies begeleiden de aanvallers slachtoffers bij het installeren van legitieme remote desktop software zoals AnyDesk, Bomgar, SuperOps RMM of Zoho Assist. De instructies hiervoor worden gedeeld via de legitieme dienst privnote.com, die berichten laat verdwijnen nadat ze zijn gelezen.