Le 26 mai 2026, le FBI a publié une alerte FLASH (FLASH-20260526-01, TLP:CLEAR) consacrée au Silent Ransom Group. Le Bureau y documente une escalade jusqu’ici inédite : l’envoi d’un individu dans les bureaux d’une entreprise pour brancher un disque dur sur un poste de travail et exfiltrer des données. Au 15 juin 2026, ransomware.live recensait 115 organisations victimes du groupe, dont 107 aux États-Unis ; dans la grande majorité des cas, le groupe privilégie le vol de données et la menace de publication au chiffrement de fichiers. Actif depuis au moins 2022, le groupe a progressivement abandonné tout malware. Sa chaîne d’attaque repose aujourd’hui essentiellement sur l’ingénierie sociale vocale, des outils légitimes et la pression réputationnelle. Qu’il en arrive à envoyer des gens frapper à des portes dit quelque chose de précis sur l’état de l’extorsion en 2026, et sur les limites des défenses construites exclusivement autour du périmètre numérique.
Qui est Silent Ransom Group
Suivi sous les noms Luna Moth, Chatty Spider et UNC3753, Silent Ransom Group vole des données et menace de les publier. Plus de chiffrement, plus de clé à monnayer. Le FBI le classe explicitement comme un acteur qui « réalise des opérations de vol de données et d’extorsion sans recourir au chiffrement traditionnel des ransomwares ».
Depuis au moins 2023, le groupe cible en priorité les cabinets d’avocats américains, des organisations qui détiennent des données de tiers à forte valeur réputationnelle et dont l’intérêt à régler discrètement un incident d’extorsion est structurellement élevé. La séquence est désormais documentée. Un employé de cabinet d’avocats reçoit un appel de son supposé service informatique, ouvre une session de partage d’écran pour résoudre un problème de sécurité présenté comme urgent, et quelques heures plus tard des centaines de gigaoctets de documents confidentiels ont quitté le réseau. La demande d’extorsion qui suit donne trois jours pour répondre, et payer ne garantit rien : Unit 42 a documenté des cas où le groupe cessait toute communication après réception du paiement, sans fournir de preuve de suppression des données.
Pour comprendre pourquoi SRG fonctionne sans la moindre ligne de code malveillant, il faut remonter à ses origines.
Une filiation dans l’écosystème Conti et les campagnes BazarCall
Mandiant suit UNC3753 comme un cluster distinct présentant des chevauchements de tactiques, techniques et procédures avec UNC2686, le cluster associé aux campagnes BazarCall. Ces campagnes ont alimenté Conti et Ryuk en accès initiaux entre 2021 et 2022 selon un schéma de callback phishing (hameçonnage par rappel téléphonique) : un courriel d’alarme poussait le destinataire à rappeler un numéro contrôlé par l’attaquant, qui le manipulait ensuite pour installer le malware BazarLoader.
Après la dissolution du syndicat Conti au printemps 2022, ce cluster s’est repositionné en opérateur autonome sous l’identité Silent Ransom Group. La continuité est lisible dans la chaîne d’attaque : là où BazarCall déployait BazarLoader, TRICKBOT, URSNIF et SILENTNIGHT, UNC3753 a épuré son arsenal de toute charge malveillante, remplacée par des outils légitimes de surveillance et de gestion à distance (RMM). Le groupe a bien déployé le ransomware LockBit.Black sur certaines opérations en 2022, avant de l’abandonner pour se concentrer sur l’extorsion par vol de données seul, un modèle qui neutralise le principal argument des victimes pour ne pas payer : la disponibilité de leurs sauvegardes.
Une chaîne d’attaque sans malware, bouclée en moins d’une heure
Entre janvier et mai 2026, Mandiant a publié la première dissection publique complète du cycle opérationnel de UNC3753, basée sur plusieurs missions de réponse à incident auprès de cabinets juridiques et financiers américains. Ce rapport constitue à ce jour la référence technique la plus détaillée sur le groupe.
Le cycle opérationnel du groupe se distingue par sa rapidité. Mandiant a documenté des incidents où l’intégralité de la séquence, du premier contact à l’exfiltration, s’est déroulée en une seule journée ouvrable, la recherche, la mise en scène et le vol de fichiers tenant parfois en moins d’une heure.
Le pivot tactique de mars 2025
Pendant trois ans, la séquence ouvrait sur des courriels à thème d’abonnement, fausses alertes de renouvellement logiciel, généralement accompagnées d’un PDF contenant un numéro de téléphone vers un centre d’appel contrôlé par l’attaquant. À partir de mars 2025, Mandiant documente un glissement : le groupe abandonne l’usurpation de marques tierces et commence à se faire passer directement pour le support informatique interne de l’organisation ciblée. La différence opérationnelle est substantielle : l’employé ne reçoit plus un appel d’un prestataire externe qu’il peut vérifier, mais d’un supposé membre du service informatique ou de l’équipe de sécurité de l’organisation dont il n’a aucune raison de douter, surtout si un courriel suspect vient de lui fournir un prétexte crédible pour contacter le support. À la même période, Halcyon relève que le groupe a commencé à déployer des chatbots IA via la plateforme Reamaze sur des portails helpdesk typosquattés au nom des organisations ciblées, automatisant ainsi le premier point de contact avec les victimes. C’est ce glissement que le FBI enregistre à son tour dans son alerte de mai 2026.
L’accès initial par vishing
La séquence s’ouvre sur un courriel anodin à thème de facture, envoyé depuis un compte grand public. Il ne contient ni lien actif ni pièce jointe : son seul rôle est d’établir un prétexte crédible pour l’appel qui suit. Se faisant passer pour le support informatique interne ou pour un membre de l’équipe de sécurité, un acteur appelle directement l’employé ciblé, identifié à partir des annuaires publics de l’organisation (site web, LinkedIn), à tous les niveaux hiérarchiques. Il guide ensuite la cible vers une session de partage d’écran via Zoom, Microsoft Teams, Quick Assist ou les services Terminal de Microsoft, puis exploite cette prise de contrôle visuelle pour faire installer un agent RMM : AnyDesk, Bomgar, Zoho Assist ou, dans certains cas, SuperOps. L’installation est déclenchée par une commande cURL transmise via Privnote, un service de messagerie à autodestruction qui ne laisse aucune trace dans les journaux du navigateur ni dans les logs de messagerie d’entreprise.
Le virage vers l’infrastructure interne
Une fois l’accès établi, les acteurs pivotent vers l’infrastructure interne. Ils ont été observés exploitant des sessions Zoom sur des appareils personnels (BYOD) pour atteindre l’infrastructure VDI de l’entreprise via des clients natifs Windows 365 ou Citrix. Depuis ces environnements virtuels, ils cartographient les dossiers locaux, les dossiers OneDrive actifs et les partages réseau mappés. Dans les cabinets d’avocats, ils ciblent spécifiquement les plateformes de gestion documentaire comme iManage, où ils lancent des recherches par mots-clés pour localiser les dossiers fiscaux (formulaires W-2, W-9, 1099), les audits, les contrats clients et les numéros de sécurité sociale.
L’exfiltration par des canaux grand public
L’exfiltration s’adapte aux contrôles en place. Le groupe utilise des versions portables de WinSCP ou Rclone pour les transferts FTP/SFTP en volume. Quand les contrôles du endpoint le permettent, les acteurs se connectent directement depuis le navigateur de la victime à un compte de partage de fichiers grand public qu’ils contrôlent (Google Drive, entre autres) et glissent-déposent les dossiers mis en scène, qu’ils renomment parfois pour imiter l’identité visuelle de l’organisation cible. Dans un incident documenté par Mandiant, le groupe a exfiltré 1,7 Go depuis le dossier OneDrive local vers Google Drive, puis a pivoté vers le VDI pour exfiltrer 14,4 Go supplémentaires via WinSCP. Google a depuis désactivé les comptes Drive associés. Dans d’autres cas, les acteurs ont fait transmettre les fichiers directement depuis iManage par les victimes elles-mêmes, instruites de les envoyer par courriel vers des adresses contrôlées. Mais depuis le printemps 2026, la séquence ne s’arrête plus au périmètre numérique.
Du vishing à l’intrusion physique : de faux techniciens envoyés dans les bureaux
Depuis le printemps 2026, le FBI a documenté une escalade inédite : quand l’ingénierie sociale à distance échoue, un individu est envoyé physiquement dans les locaux de l’organisation visée. Se présentant comme un technicien informatique, il convainc le personnel qu’il doit copier le disque ou créer une sauvegarde locale pour traiter les suites d’un courriel de phishing détecté. Une fois l’accès à un poste obtenu, il connecte un support USB ou un disque dur externe et exfiltre les données directement.
Depuis le printemps 2026, le FBI a documenté cette escalade dans son alerte FLASH du 26 mai 2026 : « Si cette tentative échoue, SRG envoie un cybercriminel sur place chez la victime afin d’accéder à son ordinateur et d’y insérer un périphérique de stockage. Dans le cadre de ce stratagème, le cybercriminel explique à la victime qu’il doit créer une image du périphérique ou un fichier de sauvegarde pour pallier les conséquences potentielles de l’e-mail de phishing. »
Mandiant évalue que ces intrusions physiques sont probablement liées à UNC3753, sur la base de recoupements de structure, de chronologie et de ciblage. Les chercheurs soulignent toutefois que « le manque de preuves forensiques et l’absence de tentative d’extorsion ultérieure empêchent toute attribution officielle »
Pour les organisations ciblées, la question est désormais double : comment vérifier l’identité d’un interlocuteur au téléphone, mais aussi comment vérifier celle d’un visiteur qui se présente à l’accueil en se réclamant du support informatique.
Pourquoi les cabinets d’avocats américains sont la cible idéale
Le ciblage des cabinets d’avocats américains est une constante du groupe depuis au moins 2023. Le FBI a émis un premier avis en mai 2025, suivi d’une alerte FLASH en mai 2026, soit exactement un an plus tard, ce qui témoigne d’une menace qui s’inscrit dans la durée.
Le profil de ces cibles colle au modèle d’un opérateur qui parie sur l’extorsion par la réputation plutôt que par le chiffrement. Les cabinets concentrent des volumes importants de données extrêmement sensibles (dossiers de transactions clients, plans de fusions-acquisitions, secrets commerciaux, rapports réglementaires), ils sont soumis à des obligations de confidentialité strictes et à une exposition réglementaire lourde, et ils ont un intérêt fort à régler discrètement un incident d’extorsion pour protéger leur réputation professionnelle. Resecurity relève qu’au premier trimestre 2026, les cabinets d’avocats représentaient près d’un quart de tous les incidents liés aux ransomwares suivis, ce qui en faisait le quatrième secteur le plus ciblé. Au-delà du droit, le groupe a aussi visé des cabinets comptables et les secteurs de l’assurance, de la finance, de la santé et de l’hôtellerie.
En juin 2026, le site de fuite LEAKEDDATA du groupe (business-data-leaks[.]com) répertoriait près de 100 organisations victimes selon Resecurity, tandis que ransomware.live en comptabilisait 115 au 15 juin 2026, dont 107 aux États-Unis : les Business Services (63 victimes) et les Financial Services (42 victimes) dominent le ciblage. Le groupe affirme lui-même que la grande majorité des cabinets visés acceptent de payer, ce qui place le nombre d’attaques réelles bien au-dessus des victimes publiées sur le site de fuite.
Un modèle d’extorsion pur, calibré pour la pression
L’absence de chiffrement est la pierre angulaire du modèle économique du groupe. Contrairement à la double extorsion classique qui combine chiffrement et menace de fuite, le Silent Ransom Group opère sur le seul volet réputation : les données sont volées, puis servent de levier pour l’extorsion.
Les communications d’extorsion arrivent souvent dans les 30 minutes suivant la sortie des attaquants de l’environnement cible. Elles donnent trois jours à l’organisation pour entamer des négociations. Sans réaction, le groupe menace de contacter directement les employés, partenaires et clients de la victime pour les alerter de la violation, ajoutant une pression externe à la pression interne, et annonce la publication des archives exfiltrées sur LEAKEDDATA. L’email d’extorsion type, dont Mandiant a publié un exemple, insiste sur les risques réglementaires, les amendes, les recours de clients lésés et la destruction de réputation, avant de se clore sur un délai explicite : « Vous aurez 3 jours pour commencer à communiquer. » Le calcul est cohérent : ce modèle est plus rapide à mettre en œuvre qu’un déploiement de ransomware, ne demande aucun développement de malware, laisse peu de traces forensiques et contourne directement la principale défense des victimes, la restauration depuis une sauvegarde.
Un site de fuite sur le clearnet, masqué par un réseau fast-flux
Là où la grande majorité des groupes ransomware hébergent leur site de fuite sur Tor, le Silent Ransom Group l’expose sur le clearnet. Resecurity y voit un choix délibéré : faciliter l’accès des victimes sans navigateur Tor, accroître la visibilité publique pour amplifier la pression réputationnelle et simplifier l’infrastructure. Un site de fuite accessible depuis n’importe quel navigateur grand public transforme chaque publication en événement consultable par tous.
Cette exposition est compensée par une infrastructure DNS fast-flux. Resecurity a identifié que les deux domaines principaux du groupe, ep6pheij[.]com et business-data-leaks[.]com, opèrent sur un réseau fast-flux alimenté par un botnet de 24 adresses IP réparties sur 18 pays et 22 fournisseurs d’accès distincts. Concrètement, les deux domaines ne pointent jamais vers le même serveur plus de quelques minutes : chaque requête DNS retourne simultanément 10 à 18 adresses IP, renouvelées par rotation toutes les 2 à 3 minutes. La totalité des IP correspond à des connexions résidentielles, probablement des routeurs, modems et passerelles domestiques compromis (équipements IoT et CPE). 50 à 60 % des connexions sont partagées entre les deux domaines, ce qui confirme un opérateur unique. La concentration géographique la plus forte est en Amérique latine (50 % des nœuds), avec des appareils domestiques infectés en Bolivie, au Mexique, en Argentine, en Équateur, en Colombie et dans les Caraïbes.
Les deux domaines sont enregistrés auprès de Web Commerce Communications Limited (WebNic[.]cc), un registrar accrédité ICANN d’Asie du Sud-Est, qui gère aussi les nameservers orchestrant la rotation des adresses IP. Le site de fuite utilise un mécanisme de tokens similaire aux identifiants de distribution de trafic (TDS), qui génère des URLs dynamiques pour diriger chaque visiteur vers un dossier spécifique de données volées. Ce système remplit un double objectif : faciliter l’accès des victimes à leurs propres données exfiltrées, tout en empêchant le scraping automatique de l’index du site, ce qui complique l’analyse par des tiers et les chercheurs. Resecurity a par ailleurs repéré, en mai 2026, un projet connexe baptisé Spy Corporate (spycorp[.]pro), partageant la même infrastructure de rotation d’IP, le même mécanisme de token CSRF et le même registrar, avec un cabinet d’avocats parmi ses premières victimes publiées.
Deux alertes FBI en un an, zéro arrestation
La réponse institutionnelle s’est limitée à des avis. Le FBI a publié une notification d’industrie privée en mai 2025, puis une alerte FLASH en mai 2026 qui élargit le périmètre de menace en intégrant explicitement les tentatives d’intrusion physique, une escalade que le Bureau juge suffisamment préoccupante pour en faire un indicateur d’attaque à part entière. Aucune arrestation, inculpation ni sanction n’est associée publiquement au groupe à ce jour.
Mandiant note que l’usage quasi exclusif d’outils légitimes (RMM commerciaux, applications grand public de partage de fichiers, communications éphémères) laisse très peu de traces exploitables après un incident. Le FBI le confirme dans son alerte FLASH : « Les récentes campagnes menées par le SRG ont laissé peu de traces sur les machines compromises. Les antivirus classiques ont également peu de chances de détecter l’intrusion, car le SRG utilise généralement des outils légitimes de gestion du système ou d’accès à distance pour mener son attaque. » Le FBI précise d’ailleurs que l’utilisation de ces outils ne doit pas être considérée comme malveillante en soi sans preuves analytiques qu’ils sont utilisés sous la direction du groupe.
Défenses recommandées contre le vishing et l’intrusion physique
Les recommandations de Mandiant et du FBI convergent sur quelques axes concrets. La première ligne est la vérification d’identité par un canal séparé. Toute demande d’accès distant initiée par un appel ou un courriel non sollicité doit être confirmée par un canal indépendant (rappel sur un numéro officiel répertorié, confirmation auprès du supérieur direct) avant d’ouvrir une session de partage d’écran, même si l’interlocuteur paraît connaître des détails internes de l’organisation. Cette vigilance vaut aussi pour les visiteurs : le FBI recommande de copier systématiquement la pièce d’identité officielle de tout prestataire technique externe se présentant sur site.
Les environnements doivent ensuite auditer et bloquer l’installation de tout outil RMM non approuvé, via des politiques de contrôle des applications (Windows Defender Application Control ou équivalents) qui empêchent l’exécution de binaires non listés, et restreindre les fonctions de contrôle d’écran interactif dans Zoom et Teams pour le personnel non technique. Des politiques d’accès conditionnel doivent garantir que seuls les appareils gérés par l’organisation s’authentifient sur l’infrastructure VDI ou VPN, avec une MFA renforcée (step-up) lorsqu’un appareil personnel y accède. Contre l’exfiltration physique, les capacités de lecture/écriture sur les supports USB et disques amovibles doivent être désactivées par GPO ou MDM, sur les postes corporatifs comme sur les BYOD utilisés comme points d’entrée VDI.
Reste la détection de l’exfiltration en cours. La journalisation complète des transferts au niveau du pare-feu, les alertes sur les connexions sortantes vers des API de partage de fichiers non autorisées et la surveillance du trafic SSH (port 22) pour les transferts WinSCP et Rclone à volume élevé permettent de repérer la sortie de données. Dans les environnements iManage, SharePoint ou assimilés, des alertes en temps réel sur les recherches massives, les pics de termes de recherche et les téléchargements en masse constituent un signal précoce.
Ce que ce modèle dit de l’extorsion en 2026
Le Silent Ransom Group a rendu caduque une part de l’investissement défensif orienté endpoint : aucun EDR ne signale WinSCP ou Zoom comme une menace, aucun antivirus ne bloque un appel téléphonique. Le même déplacement vers l’ingénierie sociale vocale se retrouve chez d’autres acteurs anglophones, comme dans la campagne de vishing menée par ShinyHunters contre les comptes SSO d’entreprises mondiales : l’humain redevient le périmètre.
L’intrusion physique franchit un seuil supplémentaire. Elle signifie que la sécurité du périmètre numérique ne suffit plus si l’accès aux locaux n’est pas soumis à des procédures d’authentification équivalentes : pour un cabinet d’avocats ou un prestataire financier, un visiteur non annoncé qui se réclame du support informatique devient un vecteur d’attaque à part entière. Et la montée du groupe coïncide avec une baisse du taux de paiement des rançons en 2025 : quand les victimes résistent mieux au chiffrement, le pari sur la réputation, la confidentialité et la pression réglementaire devient une alternative rentable, sans charge technique à développer.
Tant que la valeur réputationnelle des données de tiers détenues par les cabinets d’avocats, auditeurs, assureurs et prestataires de santé excédera le coût d’une rançon, la logique économique du Silent Ransom Group restera intacte. Son arme la plus efficace n’est pas un chiffreur, c’est un coup de téléphone, et c’est précisément ce qui la rend difficile à arrêter par les outils.
Tant que la valeur réputationnelle des données de tiers détenues par les cabinets d’avocats, auditeurs, assureurs et prestataires de santé excédera le coût d’une rançon, la logique économique du Silent Ransom Group restera intacte. Son arme la plus efficace n’est pas un chiffreur, c’est un coup de téléphone — et c’est précisément ce qui la rend difficile à arrêter par les outils.
Sources
Google Cloud Blog / Mandiant : Ongoing Targeted Campaign Against US Law Firms
Resecurity : Silent Ransom Group (SRG): Uncovering DNS Fast Flux Infrastructure
BleepingComputer : Silent Ransom Group targets law firms with fake IT support calls
BleepingComputer : FBI warns of in-person data theft attacks from extortion gang
Infosecurity Magazine : Silent Ransom Group Uses In-Person IT Impersonation to Breach Systems
Ransomware.live : SilentRansomGroup
SecurityWeek : Silent Ransom Group Uses DNS Fast Flux in Attacks
