Il gruppo UNC3753, conosciuto anche come Luna Moth, Chatty Spider e Silent Ransom Group, ha intensificato le proprie operazioni contro organizzazioni statunitensi appartenenti ai settori legale, finanziario e professionale, adottando una combinazione di vishing, ingegneria sociale, abuso di strumenti di amministrazione remota e campagne di estorsione ad alta velocità. Secondo le osservazioni di Mandiant, le intrusioni registrate tra gennaio e maggio 2026 mostrano un modello operativo estremamente efficiente, in cui l’accesso iniziale, la raccolta delle informazioni, l’esfiltrazione dei dati e la successiva richiesta di riscatto possono completarsi nell’arco della stessa giornata lavorativa. Gli attaccanti non distribuiscono tradizionali ransomware per cifrare i sistemi, ma puntano direttamente al furto di informazioni sensibili come accordi legali riservati, documentazione finanziaria, dati personali identificabili (PII) e documenti aziendali strategici. Una volta ottenuti i file, il gruppo avvia campagne di pressione psicologica contro le vittime, minacciando la pubblicazione dei dati o il contatto diretto con clienti e dipendenti. La velocità dell’operazione, unita all’uso esclusivo di strumenti legittimi, rende UNC3753 una delle minacce di estorsione più difficili da intercettare nelle fasi iniziali dell’attacco.
Cosa leggere
UNC3753 perfeziona un modello operativo basato sulla velocità
Uno degli aspetti più rilevanti osservati da Mandiant riguarda la rapidità con cui il gruppo conduce le operazioni. A differenza delle campagne tradizionali che prevedono giorni o settimane di permanenza silenziosa all’interno delle reti, UNC3753 comprime l’intero ciclo d’attacco in poche ore. Gli operatori individuano i bersagli utilizzando informazioni pubblicamente accessibili, raccolte da siti aziendali, profili professionali e directory online. Numeri di telefono, indirizzi email e ruoli aziendali vengono utilizzati per costruire pretesti credibili e convincere le vittime a collaborare. Una volta instaurato il contatto, il gruppo passa rapidamente dalla fase di preparazione alla compromissione vera e propria. L’obiettivo non è mantenere una lunga persistenza nell’ambiente, ma individuare rapidamente documenti di valore economico e sottrarli prima che i sistemi di sicurezza possano rilevare comportamenti anomali. Questa strategia riduce significativamente la finestra temporale disponibile per la risposta agli incidenti e aumenta l’efficacia delle operazioni di estorsione.
Il vishing sostituisce malware e phishing tradizionale
L’elemento centrale delle campagne UNC3753 è il vishing, ovvero l’utilizzo di chiamate vocali per manipolare le vittime. Gli attaccanti inviano inizialmente email apparentemente innocue da account consumer controllati da loro. I messaggi non contengono allegati malevoli né link sospetti e fanno riferimento a fatture, aggiornamenti tecnici o progetti aziendali. Lo scopo non è compromettere immediatamente il sistema ma preparare il terreno per la telefonata successiva. Durante la chiamata gli operatori si presentano come membri del reparto IT interno o del team di sicurezza dell’azienda. Sfruttando linguaggio tecnico e riferimenti plausibili, convincono la vittima ad avviare una sessione di assistenza remota. Questa tecnica consente di bypassare completamente i controlli email, le sandbox e i gateway di sicurezza, poiché la componente malevola viene introdotta attraverso l’interazione umana. In diversi casi documentati, gli aggressori hanno mantenuto più conversazioni con la stessa persona nell’arco di alcuni giorni per costruire fiducia e aumentare le probabilità di successo.
Abuso di piattaforme di screen sharing e software RMM
Dopo aver ottenuto la collaborazione della vittima, UNC3753 sfrutta piattaforme legittime di condivisione schermo e assistenza remota. Tra gli strumenti osservati figurano Microsoft Teams, Quick Assist, Zoom e Microsoft Terminal Services. Durante la sessione, gli operatori guidano la vittima passo dopo passo, inducendola a installare software di Remote Monitoring and Management (RMM) che garantiscono accesso persistente al dispositivo. I casi analizzati mostrano l’utilizzo di strumenti come AnyDesk, Bomgar, Zoho Assist e SuperOps. In un episodio documentato, la vittima è stata convinta a eseguire un comando cURL che ha installato automaticamente un agente di gestione remota. Per trasmettere istruzioni e collegamenti, il gruppo utilizza servizi come privnote.com, che generano messaggi autodistruggenti e riducono le tracce digitali lasciate durante l’operazione. L’abuso di software legittimi rappresenta una sfida significativa per i team di sicurezza, poiché molte soluzioni EDR considerano questi strumenti autorizzati in contesti normali di assistenza tecnica.
Gli ambienti BYOD diventano un punto d’ingresso privilegiato
Le campagne osservate mostrano una particolare attenzione verso scenari Bring Your Own Device (BYOD). Gli aggressori sfruttano laptop personali utilizzati dai dipendenti per accedere indirettamente alle risorse aziendali. Dopo aver ottenuto il controllo del dispositivo domestico tramite software RMM o sessioni di screen sharing, gli operatori attendono che l’utente acceda a servizi aziendali come piattaforme VDI, ambienti Citrix o Windows 365. Questo approccio permette di superare alcune difese perimetrali, poiché l’accesso ai sistemi corporate avviene utilizzando credenziali e dispositivi già autorizzati. Una volta ottenuto il collegamento alla rete aziendale, UNC3753 inizia immediatamente la fase di ricognizione. L’uso di endpoint personali rende inoltre più difficile distinguere il traffico legittimo da quello malevolo, soprattutto in organizzazioni che consentono modalità di lavoro ibride e accessi remoti distribuiti.
Ricerca mirata di documenti legali e dati sensibili
Dopo aver raggiunto le infrastrutture aziendali, il gruppo concentra l’attività sulla ricerca di dati ad alto valore economico. Gli operatori analizzano directory locali, cartelle sincronizzate con OneDrive, repository documentali e condivisioni di rete. Particolare attenzione viene riservata a piattaforme di document management come iManage, molto diffuse negli studi legali. Le ricerche utilizzano parole chiave specifiche per individuare moduli fiscali W-2, W-9, 1099, documenti di audit, accordi con clienti, numeri di Social Security, informazioni bancarie e contratti riservati. I file identificati vengono raccolti in directory temporanee facilmente accessibili, spesso all’interno delle cartelle Downloads o nel profilo Roaming dell’utente. Questo processo di selezione permette di ridurre il volume dei dati da trasferire e di massimizzare il valore delle informazioni successivamente utilizzate nelle richieste di riscatto.
Esfiltrazione rapida tramite cloud e strumenti legittimi
La fase di esfiltrazione rappresenta uno dei punti di forza del modello operativo di UNC3753. Gli attaccanti utilizzano prevalentemente servizi cloud e applicazioni legittime per trasferire i file all’esterno dell’organizzazione. In numerosi casi è stato osservato il caricamento diretto delle cartelle raccolte verso account personali di Google Drive o altre piattaforme consumer controllate dal gruppo. Quando le policy di sicurezza bloccano gli upload browser-based, gli operatori installano software come WinSCP o Rclone per effettuare trasferimenti FTP, SFTP o sincronizzazioni cloud. In un incidente documentato, gli aggressori hanno esfiltrato circa 1,7 gigabyte da una cartella OneDrive locale e successivamente oltre 14 gigabyte da una sessione VDI utilizzando WinSCP. In altri casi sfruttano direttamente la casella email della vittima per inoltrare documenti a indirizzi esterni. La varietà delle tecniche utilizzate consente di aggirare controlli specifici e garantisce il successo dell’operazione anche in ambienti dotati di protezioni avanzate.
L’estorsione inizia immediatamente dopo il furto
Una caratteristica distintiva di UNC3753 è la rapidità con cui avvia le attività di estorsione. A differenza dei gruppi ransomware tradizionali che attendono giorni prima di contattare la vittima, gli operatori inviano richieste di riscatto quasi subito dopo aver completato l’esfiltrazione. Le email di minaccia sono generalmente prive di branding e contengono riferimenti diretti ai dati rubati. Le organizzazioni ricevono un ultimatum di circa tre giorni per iniziare una trattativa. Gli attaccanti evidenziano il rischio di danni reputazionali, perdita di fiducia dei clienti, sanzioni normative e potenziali azioni legali. Per aumentare la pressione, allegano screenshot di documenti sottratti e offrono la possibilità di visualizzare la struttura completa dei file rubati. Le comunicazioni fanno spesso riferimento al sito di leak LEAKEDDATA, utilizzato come piattaforma per la pubblicazione dei dati in caso di mancato pagamento. Questo approccio sfrutta la sensibilità delle informazioni legali e finanziarie per massimizzare l’impatto psicologico sulle organizzazioni colpite.
Gli studi legali diventano un bersaglio ideale
Le organizzazioni legali rappresentano uno degli obiettivi più redditizi per UNC3753. Studi legali, consulenti e società professionali custodiscono grandi quantità di informazioni riservate riguardanti contenziosi, acquisizioni, proprietà intellettuale, dati fiscali e informazioni personali dei clienti. La pubblicazione di questi documenti può generare conseguenze economiche e reputazionali devastanti. Per questo motivo il gruppo concentra i propri sforzi su ambienti dove la probabilità di pagamento è elevata. L’assenza di cifratura dei sistemi consente inoltre di evitare alcune contromisure tradizionalmente utilizzate contro il ransomware, spostando l’attenzione esclusivamente sul valore dei dati sottratti. Questo modello di data theft extortion si sta affermando come alternativa sempre più diffusa alle campagne ransomware classiche.
Accesso fisico e impersonificazione di tecnici IT
Alcuni episodi collegati alle attività di UNC3753 mostrano un’evoluzione ulteriore delle tecniche di ingegneria sociale. In queste circostanze, individui si sono presentati fisicamente presso gli uffici delle organizzazioni vittime fingendosi tecnici IT incaricati di attività di supporto o manutenzione. Una volta ottenuto l’accesso ai locali, hanno tentato di collegare supporti USB ai sistemi aziendali per copiare dati o ottenere ulteriori credenziali. Sebbene questi casi siano meno frequenti rispetto alle campagne di vishing, dimostrano la capacità del gruppo di combinare tattiche digitali e fisiche. L’utilizzo di personale che si presenta sul posto amplia significativamente la superficie di attacco e richiede procedure rigorose di verifica dell’identità dei fornitori e dei tecnici esterni.
UNC3753 conferma l’evoluzione delle estorsioni senza ransomware
L’attività osservata nel 2026 conferma come UNC3753 rappresenti una delle espressioni più mature del modello di estorsione basato esclusivamente sul furto di dati. Il gruppo evita malware complessi, sfrutta strumenti legittimi, punta sull’ingegneria sociale e comprime l’intero ciclo operativo in poche ore. La combinazione di vishing, abuso di software RMM, accesso a infrastrutture VDI, ricerca mirata di documenti e campagne di pressione immediata rende la minaccia particolarmente efficace contro studi legali, società finanziarie e organizzazioni professionali. Per contrastare questo tipo di attacco non bastano i tradizionali controlli anti-malware: diventano fondamentali la formazione del personale contro il vishing, la verifica delle richieste di supporto IT, il monitoraggio degli strumenti RMM, la segmentazione degli accessi BYOD e procedure rigorose per l’identificazione di visitatori e tecnici esterni. UNC3753 dimostra che oggi il fattore umano continua a rappresentare uno dei punti più vulnerabili dell’intero ecosistema di sicurezza aziendale.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
