El grupo de ciberdelincuentes conocido por los alias de Silent Ransom Group, Luna Moth, Chatty Spider o UNC3753, que inició sus actividades delictivas en 2022, ha pasado de realizar acciones exclusivamente en remoto, a personarse, físicamente, en las oficinas de sus víctimas, haciéndose pasar para ello por técnicos informáticos.
Históricamente, sus ciberataques se han venido basando en el envío de correos electrónicos fraudulentos vinculados a supuestos cargos de suscripciones por importes mínimos, diseñados para no levantar sospechas inmediatas. Para cancelar dichos pagos falsos, se indicaba a los usuarios que llamaran a un número de contacto controlado por los atacantes, desde donde se les remitía un enlace para descargar herramientas de administración remota que, evidentemente, manejaban los ciberdelincuentes.
A partir de la primavera del 2023, el grupo se centró en atacar a bufetes de abogados en los Estados Unidos, una decisión motivada previsiblemente por la naturaleza altamente confidencial de los expedientes que atesoraban, aunque no han renunciado a atacar otros tipos de víctimas, como aquellas de los sectores sanitario, financiero y de la industria de los seguros.
A partir de abril de 2025, los analistas de seguridad identificaron una variación significativa en los procedimientos operativos de la banda, que pasó a efectuar llamadas de ingeniería social simulando pertenecer al departamento de soporte técnico de las organizaciones atacadas. En el caso de fallar el acceso digital, el grupo enviaba físicamente a un miembro a las oficinas corporativas de la víctima para introducir soportes de memoria directamente en sus ordenadores para copiar los datos.
Una vez lograda la intrusión en el sistema, el proceso implicaba una elevación mínima de privilegios, suficiente para proceder rápidamente al desvío de la información corporativa mediante utilidades legítimas de transferencia como Windows Secure Copy portable, o modalidades camufladas del programa Rclone.
Debido al uso de herramientas corporativas legítimas, los sistemas de protección tradicionales no lograban emitir alertas automáticas frente a estas actividades.
Más recientemente, y esto es de lo que alerta el FBI, los atacantes simultanean el envío de correos electrónicos con llamadas telefónicas directas para presionar a los empleados a fin de que concedan acceso a sesiones de escritorio remoto. Ante la imposibilidad de establecer la conexión por vía digital, el emisor físico que se desplaza a las instalaciones justifica la intervención presencial bajo el argumento de requerir un clonado de seguridad o una imagen del equipo informático para mitigar los supuestos efectos nocivos derivados del mensaje fraudulento previo.
Pese a que estas prácticas se han visto, por el momento, solamente en los Estados Unidos, no es descartable que algún grupo que opere en Europa las importe y mimetice, por lo que hay que ir con cuidado y desarrollar protocolos para evitar este tipo de engaños.
Los boletines del FBI aconsejan exigir sistemas de autenticación multifactor que ofrezcan resistencia a los métodos de suplantación, mantener copias de seguridad externas de manera periódica y capacitar al personal en la detección de engaños digitales.
También sugiere restringir el tráfico del puerto 22, suspender los permisos de ejecución de redes remotas y de lectura de discos externos en terminales sensibles, así como validar la identidad de cualquier personal técnico que solicite acceso a las dependencias obteniendo una copia de su documento de identificación (como, por ejemplo, el DNI).
