Il Silent Ransom Group (SRG), attivo dalmeno dal 2022 e noto anche come Luna Moth, Chatty Spider e UNC3753, ha schierato una rete DNS fast flux distribuita su 18 paesi e 22 provider Internet per proteggere i suoi data leak site clearnet. La scoperta, pubblicata da Resecurity in un report datato 6 giugno 2026, documenta per la prima volta l'infrastruttura di resilienza che SRG usa per prolungare l'esposizione pubblica dei dati rubati. La tecnica rende i takedown coordinati estremamente complessi: ogni query DNS restituisce tra 10 e 18 indirizzi IP residenziali, con rotazione completa ogni 2-3 minuti, mascherando il backend reale dietro una cortina di dispositivi IoT e CPE consumer compromessi.
SRG rappresenta l'evoluzione più pura del modello "ransomware senza ransomware". Il gruppo ha eliminato completamente la cifratura come fase d'attacco, rendendo irrilevanti i backup e le strategie di recovery tradizionali. L'estorsione si basa esclusivamente sulla minaccia di pubblicazione dei dati, e la fast flux ne garantisce la visibilità sostenuta.
- I domini
ep6pheij[.]comebusiness-data-leaks[.]comruotano DNS records attraverso nodi residenziali in America Latina, Europa orientale, Asia centrale, Medio Oriente, Africa, Asia orientale e Caraibi, con name serverHEOPLDENTICALDERR[.]ORGeHEFIREALDE[.]ORG. - La botnet sfrutta esclusivamente router, modem, gateway e dispositivi IoT consumer compromessi: nessun IP datacenter o hosting, il che complica le richieste di takedown verso infrastrutture commerciali.
- Il data leak site clearnet elenca circa 100 vittime organizzative a giugno 2026 e impiega token CSRF-like per il routing anti-scraping, limitando la raccolta automatizzata delle prove di esfiltrazione.
- Mandiant conferma che SRG ha colpito dozzine di studi legali, finanziari e professional services tra gennaio e maggio 2026, con richieste di riscatto inviate tipicamente entro 30 minuti dall'uscita dall'ambiente vittima e deadline di 3 giorni.
Come funziona la fast flux di SRG: meccanismo e scala
La rete fast flux documentata da Resecurity opera con parametri tecnici che la distinguono nettamente da un Content Delivery Network legittimo. Ogni interrogazione DNS restituisce un pool di 10-18 indirizzi IP, con rotazione time-based controllata da un backend C2 ogni 2-3 minuti. I due domini principali — ep6pheij[.]com e business-data-leaks[.]com — condividono il 50-60% dello stesso pool di bot, con 9 IP in comune tra i rotation pools, inclusi nodi localizzati in Macedonia del Nord, Croazia, Bulgaria, Ecuador, Messico, Argentina, Uzbekistan ed Egitto. L'operatore controlla almeno 24 host compromessi, stima che rappresenta un minimo: la dimensione effettiva del pool rimane non quantificata.
La condivisione significativa del pool botnet tra domini distinti conferma, secondo Resecurity, la gestione unitaria dell'infrastruttura. Non si tratta di domini casuali riutilizzati da attori diversi, ma di una architettura coordinata. Alcuni IP della fast flux risultano precedentemente mappati a operazioni carding (CVV Union e Omerta), suggerendo possibili ricicli di infrastruttura criminale o sovrapposizioni nel mercato degli accessi compromessi.
I name server HEOPLDENTICALDERR[.]ORG e HEFIREALDE[.]ORG completano l'architettura, fornendo il livello di indirizzamento che alimenta la rotazione IP. L'assenza di indirizzi datacenter nel pool — confermata esplicitamente dalla fonte — elimina il vettore di takedown più comune: la notifica agli hosting provider. I nodi residenziali, spesso distribuiti su contratti consumer con protezioni legali deboli e procedure di abuse response lente, costituiscono invece un bersaglio mobile.
Il data leak site clearnet: visibilità come arma di pressione
Il dominio business-data-leaks[.]com funziona da DLS clearnet accessibile senza Tor o VPN, massimizzando la visibilità dei dati rubati. A giugno 2026 elenca circa 100 vittime organizzative. Il sito implementa un meccanismo di token CSRF-like per il routing: ogni visitatore viene rediretto a URL specifiche, impedendo lo scraping automatizzato e la replica dei contenuti da parte di ricercatori o law enforcement. Questo sistema protegge sia l'integrità della "vetrina" criminale sia il traffico analitico dell'operatore.
La scelta del clearnet contro Tor segnala un calcolo strategico preciso. Tor garantisce anonimità server ma soffre di latenza, accessibilità limitata e vulnerabilità a takedown coordinati delle directory autoritative. La fast flux clearnet offre invece velocità, accessibilità universale e resilienza distribuita: per oscurare il sito è necessario disarticolare l'intera botnet, non semplicemente sequestrare un hidden service. La pressione psicologica sulle vittime si amplifica: i dati sono pubblicamente consultabili, indicizzabili, trasmettibili via semplice link.
Resecurity segnala l'emergere di Spy Corporate (spycorp[.]pro) a maggio 2026 come possibile progetto collegato a SRG. Il dossier non conferma definitivamente questo legame: lo status rimane sospetto, non verificato.
"Bottom line: This is a professional-grade fast-flux botnet, not an amateur setup" — Resecurity report, via The420.in
Dalla vishing call all'ufficio: come SRG penetra i target
L'infrastruttura fast flux rappresenta solo il livello superiore di un modello operativo che inizia molto più vicino alla vittima. Mandiant, in un report citato da BleepingComputer, conferma che SRG/UNC3753 ha colpito dozzine di organizzazioni legali, finanziarie e professional services tra gennaio e maggio 2026. Il vettore d'accesso primario resta il vishing: chiamate telefoniche in cui operatori impersonano supporto IT, inducendo dipendenti a installare remote access tools (AnyDesk, Zoho Assist, Bomgar, SuperOps) o a partecipare a sessioni di meeting che nascondono l'accesso non autorizzato.
L'esfiltrazione avviene tramite WinSCP o Rclone. La timeline successiva è aggressiva: la richiesta di riscatto arriva tipicamente entro 30 minuti dall'abbandono dell'ambiente da parte dell'attore, con una deadline di 3 giorni per l'avvio delle negoziazioni. Il dossier riporta la descrizione Mandiant: se la vittima non risponde, gli operatori minacciano chiamate e email dirette a impiegati e clienti esterni per alertarli del breach. Questa tattica trasforma la reputazione in leva immediata, particolarmente efficace in studi legali e professional services dove la fiducia cliente è il core asset.
Un escalation ulteriore, documentata da un alert FBI citato da Dark Reading, introduce attacchi in-person. Gli operatori inviano individui fisicamente negli uffici vittima per inserire storage device, "immaginare" computer o creare backup mentre rubano file segretamente. Il dossier non specifica se questi individui siano operatori SRG diretti o contractor/affiliati. La localizzazione geografica precisa del gruppo resta non confermata: sospetta Russia, ma non verificata con sovrapposizioni infrastrutturali documentate.
Perché è importante
Il report Resecurity non documenta misure correttive specifice né azioni di disruption dell'infrastruttura SRG. A giugno 2026, non emergono arresti o sequestri confermati della fast flux network. Il dossier non specifica se la stessa infrastruttura venga utilizzata anche per command-and-control oltre che per i data leak site.
La natura esatta dei dati esposti sul DLS — se email, documenti legali, dati finanziari, informazioni sanitarie o altro — non è dettagliata dalla fonte. Il volume finanziario dei riscatti pagati o richiesti rimane non quantificato. La stima di 38 studi legali con dati leakati da attacchi in-person, riportata da Resecurity, non è verificata incrociatamente con fonti indipendenti nel dossier fornito.
La fast flux SRG rappresenta un'applicazione specifica di tecnica nota a un contesto in evoluzione. L'elemento rilevante non è l'invenzione tecnologica — il fast flux è documentato dal 2007 — ma la sua adozione sistematica per la resilienza dei data leak site da parte di gruppi di estorsione pura. Questo sposta il problema tattico: i difensori non confrontano più una singola infrastruttura da isolare, ma una popolazione distribuita di dispositivi consumer compromessi che richiede coordinamento tra registrar, ISP e law enforcement multinazionale.
La combinazione di vishing professionale, accesso fisico e infrastruttura resilientissima impone una riprogettazione dei controlli. SRG dimostra che l'estorsione senza cifratura è altrettanto devastante della variante crittografica, con pressione estrema su reputazione e privilege client. I backup, progettati per neutralizzare il ransomware tradizionale, diventano irrilevanti quando la minaccia è esclusivamente pubblica.
Il settore legal e professional services, quarto per incidenti ransomware nel Q1 2026 con quasi un quarto del totale, si trova in una posizione di esposizione strutturale. La dipendenza dalla comunicazione veloce con clienti e la sensibilità reputazionale dei dati trattati amplificano l'impatto della tattica SRG. La fast flux garantisce che quell'impatto sia prolungato nel tempo, non episodico.
FAQ
Cos'è il "ransomware senza ransomware"?
SRG non cifra i file delle vittime. L'intero attacco si concentra sul furto dei dati e sulla minaccia di pubblicazione su data leak site accessibili pubblicamente. Questo rende inutili i backup e le procedure di recovery tradizionali, spostando l'intero valore dell'estorsione sulla reputazione.
Perché la fast flux rende i takedown così difficili?
La fast flux distribuisce i record DNS su centinaia o migliaia di IP residenziali in rotazione rapida. Per oscurare il sito non basta sequestrare un server: occorre disarticolare l'intera botnet, coordinando azioni su 18 paesi, 22 ISP e dispositivi spesso di proprietà di utenti ignari. Le procedure di abuse response consumer sono più lente e frammentate rispetto ai canali commerciali.
Qual è il ruolo degli attacchi in-person nella catena di SRG?
Gli attacchi in-person, confermati da alert FBI, rappresentano un escalation che bypassa completamente le difese digitali. Gli operatori ottengono accesso fisico alle workstation per l'esfiltrazione diretta, eliminando la dipendenza dal compromesso remoto. Il dossier non chiarisce se questi operatori siano membri core del gruppo o contractor esterni.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- https://www.securityweek.com/silent-ransom-group-uses-dns-fast-flux-in-attacks/
- https://www.darkreading.com/cyberattacks-data-breaches/ransomware-actors-steal-law-firm-data
- https://unit42.paloaltonetworks.com/fifa-world-cup-attack-surface/
- https://www.bleepingcomputer.com/news/security/silent-ransom-group-targets-law-firms-with-fake-it-support-calls/
- https://unit42.paloaltonetworks.com/gremlin-stealer-evolution/
- https://www.resecurity.com/blog/article/silent-ransom-group-srg-uncovering-dns-fast-flux-infrastructure
- https://securityaffairs.com/193274/data-breach/dentaquest-breach-shinyhunters-publish-data-impacting-2-6m-people.html?amp
- https://the420.in/silent-ransom-group-dns-fast-flux-ransomware-threat-research/
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-097a
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-335a
- https://www.cert.ssi.gouv.fr/cti/CERTFR-2025-CTI-004/
- https://www.hkcert.org/security-bulletin/malware-alert-public-should-beware-of-golddigger-malware-targeting-ios-devices_20240220
- https://www.govinfosecurity.com/inside-tehran-linked-faketivist-hacking-group-handala-a-31001