كشفت تقارير أمنية حديثة صادرة عن Google Mandiant وGoogle Threat Intelligence Group (GTIG) تفاصيل حملة ابتزاز مالي نفذتها مجموعة التهديد المعروفة باسم UNC3753، والتي تحمل أيضًا أسماء مثل Chatty Spider وSilent Ransom Group (SRG). استهدفت الحملة عشرات المؤسسات في قطاعات المحاماة والخدمات المالية والمهنية بين يناير ومايو 2026.
اعتمدت المجموعة على أسلوب التصيّد الصوتي (Vishing)، حيث يتواصل المهاجمون هاتفيًا مع الموظفين متقمصين دور فرق الدعم الفني، ويقنعونهم بفتح جلسات مشاركة شاشة أو تثبيت أدوات مراقبة وإدارة عن بُعد مثل AnyDesk وZoho Assist. وفي بعض الحالات، لجأ المهاجمون إلى الدخول الفعلي لمكاتب الشركات متنكرين كفنيي دعم، واستخدموا وسائط تخزين متنقلة لسرقة البيانات مباشرة.
بيانات حساسة تحت التهديد
أظهرت التحقيقات أن المهاجمين استهدفوا ملفات بالغة الأهمية مثل العقود القانونية، البيانات المالية، والمعلومات الشخصية الحساسة (PII). في بعض الحالات، تمكنوا من الوصول إلى أنظمة الضحايا عبر أجهزة شخصية مرتبطة بالبنية التحتية الافتراضية للشركات (VDI)، ما سمح لهم بالتوغل في الشبكات الداخلية واستكشاف مجلدات حساسة تتعلق بالضرائب والاتفاقيات التجارية وأرقام الضمان الاجتماعي.
بعد جمع البيانات، يتم نقلها باستخدام أدوات مثل WinSCP أو Rclone، ثم يرسل المهاجمون رسالة ابتزاز عبر البريد الإلكتروني خلال نصف ساعة فقط من مغادرة النظام، مانحين الضحية مهلة ثلاثة أيام للتفاوض قبل نشر البيانات على موقع تسريبات مثل LEAKEDDATA.
جذور مرتبطة بعصابة Conti
تشير التحليلات إلى أن UNC3753 وUNC2686 هما امتداد لمجموعة Conti الشهيرة التي تفككت سابقًا. في بدايات نشاطها، استخدمت هذه المجموعات أساليب التصيّد عبر رسائل إلغاء الاشتراك، قبل أن تتحول لاحقًا إلى نموذج ابتزاز مباشر دون استخدام برامج الفدية. منذ عام 2022، ركزت المجموعة على الضغط النفسي والتهديد بنشر البيانات المسروقة بدلًا من تشفيرها، وهو ما يعكس تطورًا في أساليب الابتزاز الإلكتروني.
البنية التحتية: شبكات Fast Flux
إلى جانب أساليب التصيّد، اعتمدت المجموعة على بنية تحتية معقدة باستخدام تقنية DNS Fast Flux، ما يجعل من الصعب تعطيل مواقعها الخبيثة. وفقًا لشركة Resecurity، فإن مواقع مثل business-data-leaks[.]com وep6pheij[.]com تعمل عبر شبكة بوت نت موزعة على 18 دولة و22 مزود خدمة إنترنت، جميعها تعتمد على عناوين سكنية أو متنقلة بدلًا من مراكز بيانات تقليدية. هذه الاستراتيجية تمنح المهاجمين قدرة عالية على الصمود أمام محاولات الإزالة أو الحجب.
