Silent Ransom Group : les faux techniciens en entreprise
En 2026, la cybercriminalité ne se résume plus à un simple mail piégé. Le Silent Ransom Group (alias UNC3753, Luna Moth ou Chatty Spider) vient de prouver qu’un gang peut voler les données sensibles d’une entreprise en moins d’une heure, sans la moindre ligne de code malveillante, en combinant un appel téléphonique bien rodé et, quand la victime refuse, la visite physique d’un faux technicien à l’accueil des bureaux. C’est précisément ce mode opératoire hybride, cyber plus physique, que le FBI et Google ont détaillé dans un FLASH advisory daté du 26 mai 2026, et que 01Net a résumé en une formule qui résume bien la menace : “de faux techniciens se rendent désormais dans les entreprises qu’ils veulent pirater”. Pour les RSSI, DRH et directions juridiques, ce dossier est devenu le nouveau cas d’école de l’extorsion par compromission humaine. Voici ce qu’il faut comprendre, et surtout ce qu’il faut durcir dans vos défenses.
Le groupe : Silent Ransom Group, alias UNC3753 (Mandiant), Luna Moth et Chatty Spider, actif depuis mars 2022 et historiquement lié au syndicat Conti démantelé la même année.
L’attaque : Un mail d’amorce sans pièce jointe, un appel de faux support IT demandant un partage d’écran, et, en cas de refus, l’envoi physique d’un faux technicien avec une clé USB à l’accueil de l’entreprise.
La vitesse : Mandiant documente des cas où les données quittent l’entreprise en moins d’une heure après le premier appel, uniquement avec des outils légitimes (Zoom, Teams, AnyDesk, WinSCP).
L’extorsion : Une lettre de rançon arrive trente minutes après l’exfiltration, avec un ultimatum de trois jours, sous peine de publication sur un DLS et de contacts directs avec les clients de la victime.
Le contexte : 69% des victimes de ransomware refusent désormais de payer (Verizon DBIR 2026), ce qui pousse les gangs à abandonner le chiffrement pour se concentrer sur le vol de données et la double extorsion.
Qu’est-ce que le Silent Ransom Group, ce gang qui envoie de faux techniciens dans les bureaux des entreprises ?
Le Silent Ransom Group (SRG) est un collectif cybercriminel à vocation financière, traqué sous plusieurs noms par les éditeurs de cybersécurité. Mandiant l’a classé sous le nom UNC3753, CrowdStrike parle de Luna Moth, et Microsoft Security le suit comme Chatty Spider. Le gang est apparu en mars 2022, au moment précis où le syndicat Conti, russophone et à l’origine de la vague Ryuk, s’est effondré sous la pression internationale. Plusieurs chercheurs en Threat Intelligence considèrent que SRG est une scission directe de cet écosystème, composée d’opérateurs expérimentés qui ont préféré se spécialiser dans la double extorsion sans chiffrement, plutôt que de maintenir l’infrastructure lourde d’un ransomware classique (Bleeping Computer, 27 mai 2026).
Concrètement, le groupe ne s’illustre pas par des exploits techniques spectaculaires. Il n’exploite pas de zero-day, ne diffuse pas de malware exotique, et n’infecte pas de chaîne d’approvisionnement à la manière de MOVEit. Sa force est ailleurs : une discipline opérationnelle remarquable, une ingénierie sociale patiente, et une obsession pour la discrétion. C’est précisément ce profil qui a justifié, début juin 2026, un FLASH advisory conjoint du FBI et d’un partenariat public/privé impliquant Google, Mandiant et plusieurs CERT sectoriels.
Un gang financier, pas un acteur étatique
Contrairement à certaines rumeurs, le Silent Ransom Group n’est pas considéré comme un proxy étatique. Il s’agit d’un acteur cybercriminel motivé par le profit, qui suit la logique économique classique du marché du chantage numérique : minimiser les coûts, maximiser le taux de paiement, et préserver son infrastructure tant qu’elle reste rentable. Cette rationalité explique d’ailleurs le passage stratégique du chiffrement à la simple exfiltration : comme le note le rapport Mandiant relayé par Bleeping Computer le 7 juin 2026, 69% des victimes de ransomware refusent désormais de payer (Verizon DBIR 2026). Pour un gang, continuer à chiffrer devient un mauvais calcul : il faut donc basculer sur la menace de publication, qui ne dépend pas du paiement pour nuire.
Une cible très précise : cabinets d’avocats, services juridiques, santé et finance
Entre janvier et mai 2026, le gang a visé des dizaines d’organisations, avec une concentration massive sur les cabinets d’avocats américains, les services juridiques internes, les sociétés d’assurance, certains établissements de santé, et des fonds d’investissement (Dark Reading, 8 juin 2026). Un cabinet d’avocats concentre des contrats, des dossiers de fusion-acquisition, des communications couvertes par le secret professionnel, des numéros de sécurité sociale et des données fiscales, souvent sur des postes moins durcis que ceux d’un datacenter financier. Pour les organisations qui manipulent des données très sensibles, le parallèle avec l’affaire MédecinDirect (285000 patients exposés) est frappant : ce n’est plus le chiffrement qui fait mal, c’est la fuite.
Comment fonctionne l’attaque en 3 temps : mail, appel téléphonique et visite physique ?
Le mode opératoire du Silent Ransom Group est un cas d’école d’ingénierie sociale en cascade. Il repose sur trois étapes, toutes documentées par Mandiant et confirmées par le FBI, et chaque étape utilise uniquement des outils parfaitement légitimes, ce qui rend l’attaque quasiment indétectable par un antivirus classique ou un EDR traditionnel. Voici la mécanique complète, telle qu’observée sur les compromissions de 2026.
Étape 1 : le mail d’amorce, sans pièce jointe ni lien malveillant
Tout commence par un mail anodin, envoyé depuis une adresse grand public (Gmail, Outlook, Yahoo). Le contenu est une fausse facture, un rappel de paiement, ou un document soi-disant transmis pour signature. Point crucial : il n’y a ni pièce jointe piégée, ni lien de phishing. Cette absence est volontaire, parce qu’elle rend le message invisible pour les solutions anti-spam et les passerelles de sécurité. Le mail sert uniquement à préparer le terrain psychologique : la victime pense avoir un document en attente, et lorsqu’un appel arrive quelques heures plus tard, le contexte lui semble cohérent (01Net, 13 juin 2026).
Étape 2 : l’appel du faux support IT et le partage d’écran
Quelques heures après le mail, la cible reçoit un appel téléphonique. L’interlocuteur se présente comme un technicien du support interne, ou plus rarement d’un prestataire externe, et évoque un problème de sécurité en cours, une migration de données urgente, ou un risque de perte de fichiers si une intervention rapide n’est pas menée. L’opérateur est calme, poli, et cite un jargon technique crédible. Il invite la victime à ouvrir une session de partage d’écran (Microsoft Teams, Zoom, Quick Assist) et à installer un outil d’accès distant parfaitement légitime : AnyDesk, Zoho Assist, Bomgar, ou encore SuperOps.
Une fois l’accès distant établi, l’attaquant ne fait rien de spectaculaire. Il ne déploie pas de ransomware, n’installe pas de cheval de Troie. Il ouvre l’explorateur de fichiers, navigue dans les dossiers professionnels, repère les volumes intéressants, et lance discrètement des outils d’exfiltration eux aussi parfaitement légitimes : WinSCP, Rclone, des uploads vers un cloud public, du FTP, voire un simple glisser-déposer via la session de partage d’écran. Pour un EDR, c’est juste un utilisateur qui travaille. Pour un antivirus, c’est juste un logiciel connu qui fait ce qu’il a le droit de faire. Comme l’a résumé Waseem Ahmed, responsable ingénierie chez Secure.com, cité par TechCrunch le 5 juin 2026 : “Ce n’est pas seulement un problème de vishing. Ils ne s’introduisent pas par effraction, ils sont invités. Un employé inquiet, préparé par un mail de facture et une voix calme qui prétend être l’IT, prend une décision de confiance en quelques secondes et se trompe.”
Étape 3 (optionnelle mais redoutable) : la visite physique du faux technicien
Si la victime refuse l’accès à distance (par chance ou par procédure interne), l’attaque ne s’arrête pas là. Un complice du gang se présente physiquement à l’accueil de l’entreprise, costume-cravate, badge faussement crédible, et prétend devoir procéder à une “image disque” du poste, à une “sauvegarde d’urgence” ou à une intervention de maintenance planifiée. Une fois devant la machine, il branche une clé USB ou un disque dur externe pour copier directement les fichiers sensibles. Cette bascule, purement physique, est l’innovation la plus marquante du mode opératoire du SRG en 2026, et c’est exactement ce qu’a documenté le FLASH du FBI du 26 mai 2026.
Mandiant a observé des séquences complètes de compromission, du premier appel téléphonique jusqu’à l’exfiltration des données, en moins d’une heure. C’est ce que confirme Krell, chercheur cité par SC Media le 8 juin 2026 : “UNC3753 a fait exactement ce virage. Ils déployaient des ransomwares en 2022, puis ont arrêté. Maintenant, ils volent des documents, menacent de les publier, et exigent un paiement. Le Verizon DBIR 2026 le confirme : 69% des victimes de ransomware refusent de payer. Mandiant a tracé des cas où UNC3753 est passé du premier appel téléphonique aux données volées en moins d’une heure, en utilisant uniquement des outils légitimes comme Zoom et AnyDesk. Quand l’appel échoue, le FBI a confirmé qu’ils envoient quelqu’un au bureau avec une clé USB.”
✅ À faire systématiquement
Former tous les collaborateurs (pas seulement l’IT) à reconnaître un appel “support IT” non sollicité et à appliquer la procédure de rappel sur un numéro interne connu.
Centraliser les demandes d’accès distant dans un ticket, avec validation managériale et double contrôle avant toute session de partage d’écran.
Journaliser les installations d’outils d’accès distant (AnyDesk, Zoho, Bomgar) et bloquer par défaut ceux qui n’ont pas été approuvés par la DSI.
Maintenir une liste à jour des visiteurs attendus à l’accueil, et exiger un rendez-vous confirmé pour toute intervention “sur place” non planifiée.
❌ À éviter absolument
Répondre aux questions techniques d’un interlocuteur qui vous appelle, même s’il connaît votre nom et semble bien informé.
Installer un outil d’accès distant ou ouvrir une session de partage d’écran à la demande d’un appelant non identifié.
Brancher une clé USB ou un disque externe apporté par un intervenant non formellement identifié par le helpdesk interne.
Payer la rançon sans consulter d’abord un avocat spécialisé et les forces de l’ordre, même sous pression d’un ultimatum court.
Pourquoi le cas Jones Day a-t-il marqué un tournant dans l’extorsion cyber ?
Le cabinet d’avocats Jones Day, l’un des plus grands au monde avec des clients comme Goldman Sachs, McDonald’s ou General Motors, a confirmé en avril 2026 un incident d’hameçonnage à grande échelle. Rapidement, le nom du cabinet est apparu sur le Data Leak Site du Silent Ransom Group, avec une revendication claire : dix clients affectés, données juridiques confidentielles en exfiltration. Bloomberg et Reuters ont rapidement repris l’information, donnant à l’affaire une dimension systémique.
Pourquoi ce cas est-il plus marquant qu’un autre ? Parce qu’il cumule trois facteurs aggravants. Premièrement, le prestige de la cible : quand un cabinet comme Jones Day se fait compromettre, c’est la confiance de tout l’écosystème juridique et financier qui vacille. Deuxièmement, la nature des données volées : des dossiers de fusion-acquisition, des contentieux stratégiques, des communications client/avocat. Troisièmement, l’effet domino : SRG a ensuite contacté directement certains clients du cabinet pour leur signifier que leurs données étaient en possession du groupe, transformant une extorsion unique en cascade de chantages ciblés. Cette mécanique n’est pas sans rappeler l’onde de choc de l’attaque MOVEit en 2023, qui avait compromis 2700 organisations via une seule faille supply chain, où l’extorsion pure, sans chiffrement, s’était déjà révélée plus rentable qu’un ransomware classique.
⚠️ Attention : la pression temporelle est une arme
L’ultimatum de trois jours combiné à la menace de contacts directs avec les clients place les décideurs sous une pression psychologique intense. Ne prenez jamais de décision de paiement à chaud. Impliquez votre direction juridique, votre assureur cyber, et le CERT sectoriel ou les forces de l’ordre (en France : ANSSI et 17Cyber) AVANT toute négociation, même si la pression est forte.
Silent Ransom Group peut-il frapper en France et en Europe ?
La campagne 2026 du SRG cible quasi exclusivement les États-Unis, et plus particulièrement les cabinets juridiques et les services financiers nord-américains. Mais limiter l’analyse à ce seul terrain serait une erreur. D’abord, parce que les groupes cybercriminels financièrement motivés ne s’interdisent jamais un marché rentable : toute organisation européenne manipulant des données à forte valeur (M&A transfrontaliers, contentieux internationaux, propriété intellectuelle, données de santé) figure dans le périmètre d’intérêt du gang. Ensuite, parce que la France elle-même n’est pas épargnée par la dynamique plus large du “ransomware sans ransomware”.
L’opération française DumpSec du 9 juin 2026
Le 9 juin 2026, l’office anti-cybercriminalité français a interpellé sept jeunes hackers membres du collectif DumpSec, actifs à Lille, Marseille, Strasbourg, Bordeaux, Limoges et Poitiers. L’enquête a révélé que le collectif avait compromis 1500 entités, dont des institutions aussi sensibles que l’Assemblée nationale et de grandes entreprises comme Leroy Merlin. Si DumpSec n’est pas directement affilié au Silent Ransom Group, l’affaire illustre que les groupes cybercriminels francophones ont pleinement intégré le passage à l’extorsion pure, sans chiffrement, et qu’ils opèrent avec une logistique impressionnante sur le territoire national.
Une infrastructure technique pensée pour la résilience
Le 5 juin 2026, le cabinet Resecurity a publié une analyse technique fouillée de l’infrastructure du SRG, reprise par plusieurs médias spécialisés dont LeMagIT et CyberVeille. Le constat est sans appel : le gang déploie une infrastructure DNS en Fast Flux, avec 10 à 18 adresses IP simultanées par nom de domaine, et une rotation toutes les deux à trois minutes. Les IP utilisées proviennent à 100% de botnets résidentiels (0% datacenter), répartis dans 18 pays et 22 fournisseurs d’accès, avec une concentration de 50% en Amérique latine, 12,5% dans les Balkans et en Europe de l’Est, et 12,5% au Moyen-Orient et en Afrique. Les domaines pivot identifiés sont ep6pheij[.]com et business-data-leaks[.]com.
Cette architecture n’a qu’un objectif : rendre le DLS, les serveurs de dépôt et les points de contact opérationnels impossibles à neutraliser par les forces de l’ordre. Le DLS est en clearnet (donc accessible sans Tor), historiquement brandé “LeakedData” depuis décembre 2024, et un mécanisme de token CSRF bloque le scraping automatisé par les chercheurs. En mai 2026, un projet lié nommé “Spy Corporate” (spycorp[.]pro) a été identifié, partageant les mêmes adresses IP que l’infrastructure SRG. Au moment de l’analyse, environ 100 organisations étaient listées comme victimes, et les chiffres Kaspersky 2025 sur les infections ransomware par secteur (santé 8,1%, Asie-Pacifique 7,89%, Afrique 7,67%) confirment que les structures manipulant des données sensibles restent structurellement les plus exposées. Ce profil rejoint d’ailleurs les secteurs visés par d’autres vagues récentes, comme la fuite massive documentée dans l’affaire Searcher, qui a exposé plus d’un milliard de données de Français.
Comment protéger son entreprise d’une attaque hybride cyber plus physique ?
Face à un mode opératoire qui combine ingénierie sociale, outils légitimes et intrusion physique, les défenses classiques (antivirus, EDR, filtrage mail) ne suffisent plus. La protection repose sur un triptyque : durcir les procédures humaines, segmenter les accès distants, et auditer en continu la chaîne d’accueil physique. Voici les mesures concrètes que recommandent les experts interrogés par la presse spécialisée en juin 2026, et que nous avons croisées avec les bonnes pratiques issues de notre guide des 10 réflexes cyber, de notre guide anti-deepfake vocal et de notre dossier pratique sur la protection contre le phishing bancaire.
1. Imposer une politique de rappel (callback policy) systématique
C’est la mesure la plus simple et la plus efficace, citée par Krell dans SC Media le 8 juin 2026 : “La défense la plus forte est une politique de rappel : si quelqu’un appelle en prétendant travailler pour le support IT, l’employé doit raccrocher et appeler l’IT via un numéro interne connu. Cette étape unique brise la chaîne d’attaque, peu importe le réalisme de la voix.” Concrètement, cela signifie qu’aucune demande d’intervention IT, de réinitialisation de mot de passe, d’installation d’outil ou de partage d’écran ne doit être traitée en direct, quel que soit le niveau d’urgence invoqué. L’employé doit raccrocher, retrouver le numéro interne officiel, et rappeler le support pour confirmer la demande.
2. Faire de l’accès distant une procédure à deux personnes
Waseem Ahmed, cité par Bleeping Computer le 7 juin 2026, recommande de “vérifier toute demande IT via un second canal connu et de faire de l’accès distant une étape à deux personnes”. En pratique : un manager ou un second collègue doit valider l’ouverture de toute session de partage d’écran ou l’installation de tout outil d’accès distant, et un journal doit être conservé (qui a autorisé, à quelle heure, pour quelle raison). Cela casse la dynamique psychologique du “c’est urgent, faites-le maintenant”. C’est aussi le sens des recommandations de notre dossier sur la compréhension globale d’une attaque par ransomware et de notre analyse du ransomware Titan dopé à l’IA : la segmentation est ce qui transforme une catastrophe en incident maîtrisé.
3. Durcir l’accueil physique et préparer la réponse à incident en amont
Le FBI, dans son FLASH du 26 mai 2026, identifie plusieurs indicateurs d’attaque à surveiller à l’accueil : installation de périphériques USB ou de disques durs externes non autorisés, présence d’individus non identifiés prétendant être du support IT, et demandes d’accès direct au poste de l’utilisateur. La réponse opérationnelle est connue mais souvent mal appliquée : aucune intervention “sur place” non planifiée ne doit être menée sans rendez-vous confirmé dans le système interne, badge visiteur limité aux zones d’accueil, et interdiction physique d’accéder aux bureaux sans accompagnement d’un employé référent.
Enfin, quand la lettre de rançon arrive trente minutes après l’exfiltration, il n’y a plus le temps de réfléchir à qui appeler. La cellule de crise doit être constituée à l’avance, avec des numéros d’astreinte pour : l’ANSSI (pour les entités sous réglementation NIS2), 17Cyber (pour l’assistance aux particuliers et aux PME), l’assureur cyber, l’avocat spécialisé, et un prestataire de réponse à incident sous contrat-cadre. Charles Carmakal, CTO de Mandiant, cité par TechCrunch le 5 juin 2026, résume bien la doctrine actuelle : “Mandiant a enquêté sur plusieurs affaires où des adversaires ont placé des insiders, corrompu des employés, ou pénétré physiquement dans des bâtiments pour faciliter des cyberattaques.” Cette réalité oblige les RSSI à intégrer la dimension physique dans leurs scénarios de crise, et plus seulement la dimension purement technique.
Questions fréquentes sur le Silent Ransom Group et l’extorsion cyber (FAQ)
Le Silent Ransom Group est-il un groupe russe ou un acteur étatique ? ▼
Non. Le Silent Ransom Group (UNC3753 / Luna Moth / Chatty Spider) est un gang cybercriminel à motivation financière, apparu en mars 2022 et historiquement issu de l’écosystème Conti/Ryuk après son démantèlement. Il n’est pas considéré comme un proxy étatique, mais comme un acteur criminel opportuniste qui suit une logique de profit.
Comment le gang vole-t-il les données sans installer de malware ? ▼
Le gang utilise uniquement des outils parfaitement légitimes et largement déployés en entreprise : AnyDesk, Zoho Assist, Bomgar ou SuperOps pour l’accès distant, puis WinSCP, Rclone, des clients FTP ou des uploads cloud pour l’exfiltration. Pour un antivirus ou un EDR mal configuré, c’est juste un utilisateur qui travaille. C’est ce qui rend l’attaque si difficile à détecter en temps réel.
Que faire si un inconnu se présente à l’accueil en prétendant être du support IT ? ▼
Ne jamais le laisser accéder à un poste. Vérifier qu’un rendez-vous est bien planifié dans le système interne, demander une pièce d’identité, contacter le manager de l’utilisateur concerné via un canal connu, et accompagner systématiquement la personne tant qu’elle est dans les locaux. En cas de doute, refuser l’intervention et alerter la sécurité du site.
Faut-il payer la rançon en cas de chantage à la publication des données ? ▼
Aucune décision de paiement ne doit être prise à chaud, sous la pression de l’ultimatum. Impliquez votre direction juridique, votre assureur cyber, et les forces de l’ordre ou le CERT sectoriel (en France : ANSSI et 17Cyber). Le paiement ne garantit jamais la suppression des fichiers volés et peut vous exposer à des sanctions si le groupe est listé par les régulateurs financiers. Par ailleurs, 69% des victimes de ransomware refusent désormais de payer, ce qui pousse les gangs à intensifier la pression : céder ne fait que financer la suivante.
Une PME française sans activité internationale est-elle concernée par le Silent Ransom Group ? ▼
Le mode opératoire du SRG cible en priorité des organisations à données très sensibles (juridique, santé, M&A, finance), mais la mécanique de base (vishing, faux technicien, support IT) peut être déclinée à n’importe quelle cible. Toute entreprise qui reçoit des appels d’inconnus, qui fait intervenir des prestataires IT, ou qui accepte des visites non filtrées à l’accueil doit appliquer les mesures décrites dans ce dossier. La sophistication du gang n’est pas dans la technique, elle est dans la patience et la préparation psychologique de la cible.
Alexi Tauzin🛡️ Éditeur & Expert Cyber
Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
