Silent Ransom Group cible les cabinets d'avocats via vishing — alerte FBI

Les faits

Le Federal Bureau of Investigation a émis le 5 juin 2026 une alerte (IC3 Alert 260526) concernant une campagne d'extorsion ciblée menée par le groupe Silent Ransom Group, également suivi sous les identifiants UNC3753 (Mandiant/Google Cloud), Luna Moth et Chatty Spider. Les investigations de Mandiant révèlent des dizaines d'intrusions confirmées entre janvier et mai 2026, avec une accélération notable depuis mars, ciblant principalement les cabinets d'avocats et les sociétés de services financiers américains.

La particularité de ce groupe réside dans l'absence totale d'exploitation de vulnérabilités logicielles. L'intégralité de la chaîne d'attaque repose sur l'ingénierie sociale et la manipulation psychologique. La séquence type débute par un email à thème facturation ou incident de compte, conçu pour déclencher une réaction d'urgence. Quelques heures après, la cible reçoit un appel téléphonique d'un "technicien du support IT" dont le discours reproduit fidèlement les codes internes de l'organisation.

Lors de cet appel, le faux technicien guide la victime vers l'installation d'un outil de prise en main à distance légitime : AnyDesk, Zoho Assist, Bomgar ou SuperOps. Ces outils sont délibérément choisis car ils sont whitelistés dans la grande majorité des politiques de sécurité des endpoints. Une fois la session de partage d'écran ouverte, les attaquants prennent le contrôle de la machine et déploient silencieusement des outils d'exfiltration.

Les données volées sont extraites via WinSCP et Rclone, deux outils de transfert de fichiers légitimes rarement détectés par les DLP et EDR en mode standard. Les liens de partage temporaires sont transmis via privnote.com pour minimiser les artefacts forensiques récupérables après l'incident. La totalité de la chaîne — du premier contact à l'exfiltration — se déroule en moins d'une journée ouvrable.

Le modèle économique diffère des ransomwares classiques : Silent Ransom Group ne chiffre pas les données. L'extorsion repose uniquement sur la menace de publication des données volées. Les demandes de rançon sont transmises dans les 30 minutes suivant l'accès initial, avec un délai de paiement de trois jours. Cette rapidité exploite la panique et empêche la mise en place d'une réponse coordonnée avant l'échéance.

Mandiant documente une escalade tactique préoccupante : lorsque les tentatives de vishing à distance échouent (victime méfiante, procédures en place), des membres du groupe se présentent physiquement aux locaux de l'organisation cible pour obtenir un accès direct aux postes de travail. Cette capacité de déploiement physique distingue ce groupe de la grande majorité des acteurs opérant exclusivement en ligne.

Les domaines de phishing déployés suivent un pattern systématique : [nom-organisation]-itdesk[.]com, [nom-organisation]-helpdesk[.]com, reproduisant les portails internes de support IT. Ces domaines sont enregistrés dans les 48 heures précédant l'attaque, rendant difficile leur blocage préventif par les solutions de filtrage basées sur la réputation de domaine.

La filiation de Silent Ransom Group avec l'écosystème Ryuk/Conti est documentée par plusieurs cabinets de threat intelligence. Le groupe a émergé comme entité autonome après la dissolution publique de Conti en mai 2022, capitalisant sur les compétences d'ingénierie sociale développées dans ce cadre. En ciblant les professions juridiques pour leurs archives de données sensibles et leur forte exposition réputationnelle, le groupe a optimisé son retour sur investissement d'extorsion.

Impact et exposition

Le risque immédiat concerne les cabinets d'avocats, études notariales, sociétés de conseil et de services financiers disposant d'archives de données confidentielles clients à forte valeur. Le vecteur humain rend cette menace indépendante du niveau de maturité technique : une entreprise parfaitement patchée avec un EDR premium reste totalement exposée si ses employés ne sont pas formés. En France, les structures juridiques et financières traitant des dossiers transatlantiques doivent considérer ce mode opératoire comme une menace active.

Recommandations

• Former immédiatement l'ensemble des collaborateurs : rappel systématique sur un numéro officiel avant toute action, refus de toute installation à distance sans validation écrite du RSSI
• Mettre en place une procédure de vérification d'identité stricte pour toute demande de support IT, incluant un code verbal quotidien ou un canal de confirmation secondaire
• Auditer et restreindre la liste des outils RMM autorisés — bloquer AnyDesk, Zoho Assist, SuperOps sauf dérogation nominative signée
• Activer les alertes DLP sur les transferts massifs de fichiers via WinSCP, Rclone et outils équivalents
• Surveiller les enregistrements DNS imitant le nom de votre organisation (pattern *-itdesk, *-helpdesk)