O campanie de furt de date și extorcare, activă între ianuarie și mai 2026, a vizat zeci de organizații din sectorul profesional, juridic și financiar din Statele Unite. Actorul amenințării, denumit UNC3753 de către Google Mandiant și Google Threat Intelligence Group (GTIG), a folosit o combinație de vishing (phishing telefonic) și intruziuni fizice pentru a obține acces la sisteme și a fura informații sensibile.
Ce este UNC3753?
UNC3753 este un grup de amenințare motivat financiar, cunoscut anterior sub nume nedivulgate, care a recurs la tactici neobișnuite pentru a pătrunde în rețelele țintelor. În loc să se bazeze exclusiv pe metode digitale, atacatorii au combinat ingineria socială telefonică cu acțiuni fizice directe. Potrivit cercetătorilor, grupul a exploatat încrederea angajaților pentru a obține parole sau acces la birouri.
Metoda de atac: vishing și intruziuni fizice
Primul pas al campaniei a constat în apeluri telefonice (vishing) către angajați, în care atacatorii se prezentau drept suport IT sau colegi de la departamentul financiar. Scopul era să convingă victimele să divulge acreditările de acces sau să instaleze instrumente de acces la distanță. Ulterior, în unele cazuri, membrii UNC3753 s-au deplasat fizic la sediile organizațiilor, folosind informațiile culese pentru a intra în clădiri și a accesa direct servere sau stații de lucru.
Impact și recomandări
Odată ajunși în posesia datelor, atacatorii au recurs la extorcarea financiară, amenințând cu publicarea sau vânzarea informațiilor furate. Deși campania este concentrată în SUA, metodele pot fi replicate oriunde. Specialiștii recomandă companiilor să implementeze autentificare multifactor robustă, să instruiască angajații să recunoască solicitările telefonice suspecte și să securizeze accesul fizic în clădiri.
Google Mandiant continuă să investigheze activitatea UNC3753 și le oferă organizațiilor indicatori de compromis pentru detectarea acestor tipuri de atacuri.