freshidea - stock.adobe.com

Actualites

Silent Ransom Group : une architecture pensée pour la résilience dynamique

Le Silent Ransom Group (SRG) n'est pas juste une enseigne de cyber-extorsion comme les autres. Elle se distingue fortement par ses cibles, son mode opératoire, et ses choix d'architecture technique.

Valéry Rieß-Marchive
par
Publié le: 10 juin 2026

Le groupe Silent Ransom (SRG), également identifié sous les noms de Luna Moth ou UNC3753, est actif depuis au moins mars 2025. Il ne vise pas la double extorsion, mais privilégie la simple extorsion, à savoir le vol de données et le chantage à sa divulgation. 

ReSecurity s'est penché sur ses choix d'architecture technique. Et ils ne manquent pas d'originalité. 

Luna Moth emploie une architecture basée sur le DNS Fast Flux pour assurer la pérennité de ses opérations. Cette technique masque les serveurs de commande et de contrôle (C2) derrière un réseau de dispositifs compromis agissant comme autant de proxys. En modifiant continuellement les enregistrements DNS et en utilisant des valeurs de durée de vie (TTL) très courtes, SRG garantit la disponibilité de ses domaines face aux tentatives de démantèlement.

L'analyse révèle que ces domaines ne reposent pas sur des infrastructures de centres de calcul, mais sur un botnet composé d'appareils domestiques et mobiles. Les nœuds identifiés se répartissent sur plusieurs continents, notamment en Amérique latine, en Europe de l'Est, en Asie centrale et au Moyen-Orient. Cette structure permet au groupe de maintenir une présence opérationnelle constante malgré les mesures de blocage locales.

Dynamique du botnet et routage de trafic

L'infrastructure de SRG se distingue par une rotation temporelle d'adresses IP, où 10 à 18 adresses simultanées sont actives sans segmentation géographique. Le botnet exploite des connexions résidentielles et mobiles réparties dans 18 pays et gérées par 22 fournisseurs de services Internet différents. Cette diversité est le marqueur d'une infrastructure professionnelle utilisant des appareils infectés, tels que des objets connectés (IoT) ou des équipements terminaux comme des routeurs et des modems.

Pour gérer l'accès aux données volées, le groupe utilise un mécanisme de jetons similaire aux identifiants de distribution de trafic (TDS) ou aux jetons CSRF. Ce système permet de diriger les utilisateurs vers des dossiers spécifiques via des URLs générées dynamiquement. Cette méthode répond à un double objectif : faciliter l'accès aux données des victimes d'un côté, tout en rendant plus difficile le scraping automatique des pages d'index de l'autre, ce qui complexifie l'analyse et le téléchargement automatisés par des tiers.

Vecteurs d'accès et ciblage sectoriel

SRG privilégie une approche hybride combinant techniques cyber et ingénierie sociale pour infiltrer ses cibles. Le groupe utilise fréquemment le vishing (phishing vocal) et le callback phishing pour usurper l'identité de techniciens de support informatique ou de prestataires tiers. Dans certains cas, le groupe a recours à l'infiltration physique, envoyant des opérateurs sur les sites des victimes pour contourner les mesures de sécurité matérielles.

Une fois n'est pas coutume, pour un groupe de cyber-extorsion, le ciblage est stratégique et concentré sur les secteurs manipulant des données hautement sensibles : santé, finance, droit et assurances. Les cabinets d'avocats sont particulièrement visés en raison de la valeur des informations qui leur sont confiées, telles que des documents confidentiels, de la propriété intellectuelle et des communications privilégiées. 

Stratégie de pression et visibilité des données

Une caractéristique notable de SRG est son choix d'héberger ses sites de fuite de données (DLS) sur le clearnet plutôt que sur le réseau Tor. Cette décision repose sur une logique opérationnelle visant à maximiser la pression psychologique sur les victimes. En rendant les données accessibles sans l'utilisation de Tor, le groupe abaisse la barrière technique pour les victimes et les médias, augmentant ainsi la visibilité de la brèche.

Cette stratégie simplifie également la maintenance de l'infrastructure de fuite. Bien que le clearnet soit plus exposé aux mesures de démantèlement, SRG compense ce risque par des techniques de migration rapide et l'utilisation de registres de domaines dans des juridictions à faible application des lois. Cette approche souligne une priorité donnée à l'impact réputationnel et à la facilité d'accès pour les victimes.

Pour approfondir sur Menaces, Ransomwares, DDoS