电话那头不是IT——UNC3753语音钓鱼+物理入侵的新型勒索攻击全链条拆解

点滴安全 | 2026-06-09

当黑客不再只是敲键盘

2026年6月8日，Google Mandiant和Google威胁情报小组（GTIG）联合披露了一起令人不安的攻击活动。威胁行为者UNC3753在2026年1月至5月期间，针对美国数十家专业服务、法律和金融机构发起了一波数据窃取和勒索行动。这不是一起普通的网络攻击——攻击者不仅使用语音钓鱼，甚至派人亲自到受害者公司进行物理入侵。

在大多数人的认知里，网络攻击发生在虚拟世界——攻击者在键盘那头，在屏幕背后，远在天边。但UNC3753打破了这种认知。他们会给你打电话，假装是你的IT部门同事；他们会发邮件，说你的数据需要迁移；如果你不上钩，他们甚至会亲自走进你的办公室，冒充IT技术员，把一个U盘插进你的电脑。

这不是电影情节，这是2026年正在发生的真实攻击。

攻击的前奏——一封看似无害的邮件

UNC3753的攻击通常始于一封看起来毫无威胁的邮件。邮件主题通常是”发票”或者”数据迁移”之类的商业话题，内容简短且通用，没有恶意链接，没有可疑附件。邮件的唯一目的是建立一个”前奏”——在受害者心中植入一个关于内部安全问题的担忧，让接下来的电话显得合情合理。

这些邮件发自攻击者控制的普通消费者邮箱账户，看起来就像是正常的工作往来。这也是攻击者精心设计的社交工程策略的一部分——先在邮件中建立信任基础，再通过电话进行”收网”。

邮件发出后不久，受害者就会接到一个电话。电话那头的人自称是公司内部的IT帮助台员工，声称需要处理邮件中提到的”安全问题”或”数据迁移项目”。他们会引导受害者加入一个屏幕共享会话——通过Zoom、Microsoft Teams或Quick Assist等企业通信平台。

关键在于，这些平台都是企业合法使用的主流工具。传统的安全防护措施很难识别这种攻击，因为从技术层面看，一切行为都是”正常”的。

从屏幕共享到持久化控制

一旦屏幕共享会话建立，攻击者的真正目标就浮出水面。他们会引导受害者下载和安装合法的远程监控和管理（RMM）工具，比如AnyDesk、Bomgar、SuperOps RMM或Zoho Assist。安装说明通常通过一个名为”privnote.com”的阅后即焚服务分享，以避免留下痕迹。

这些RMM工具都是正规的商业软件，在IT运维中广泛使用，因此不会触发杀毒软件或端点检测系统的警报。但对于攻击者来说，这些工具就是一个持久的后门——一旦安装，他们可以随时远程访问受害者的系统。

在获得远程访问后，攻击者会执行两种策略：

策略一：直接搜索和窃取。 攻击者通过远程会话直接浏览受害者的文件系统，搜索并外传敏感文件。窃取的信息包括专有法律协议、个人身份信息（PII）和财务记录。

策略二：诱导受害者代劳。 在某些情况下，攻击者会通过社交工程手段，让受害者自己执行文件搜索和外传操作。受害者以为自己在配合IT部门进行”数据迁移”，实际上正在亲手将敏感数据交给攻击者。

更令人警觉的是，攻击者还被观察到在受害者的个人笔记本电脑上建立Zoom会话，通过个人设备访问企业的虚拟桌面基础设施（VDI），然后深入企业文件系统，枚举本地和云端目录，遍历映射的网络驱动器，有针对性地从高度敏感的文件夹中采集数据。

物理入侵——从网络攻击到现实世界

UNC3753最令人震惊的战术是物理入侵。根据美国联邦调查局（FBI）在2026年5月发布的警告，攻击者在某些情况下会派遣人员亲自前往受害者的办公地点。

攻击者冒充IT技术员，进入企业办公楼。一旦进入办公区域，他们会将一个外部硬盘或U盘插入受害者的电脑，直接复制数据。这种攻击方式完全绕过了网络安全防护——没有恶意软件，没有网络流量异常，只有一个”IT人员”在”维护电脑”。

对于大多数企业来说，物理安全一直是一个被低估的攻击面。门禁系统、访客登记、桌面安全策略（如USB端口管控）这些看似”传统”的安全措施，在面对这种混合攻击时变得至关重要。

FBI的警告特别指出：“SRG（Silent Ransom Group）行为者通过亲自前往受害者所在地进行入侵，将数据外传到由威胁行为者插入受害者计算机的外部硬盘或USB驱动器上。”这种将网络攻击和物理入侵相结合的手法，代表了勒索攻击演化的新方向。

攻击者的身份——前Conti勒索团伙的变体

根据Google的分析，UNC3753与另一个威胁组织UNC2686存在战术重叠，两者都被认为是已解散的Conti勒索软件团伙的分支。

Conti曾是历史上最具破坏性的勒索软件团伙之一，在2022年内部聊天记录泄露后宣布解散。但解散并不意味着消失——前Conti成员分裂成多个小规模团队，继续以不同的方式进行网络犯罪活动。

UNC3753（又名Chatty Spider、Luna Moth、Silent Ransom Group）就是这些分支之一。虽然该组织过去曾被观察到部署LockBit Black勒索软件，但自2022年以来，他们主要专注于数据窃取和勒索——窃取敏感数据，然后威胁受害者在LEAKEDDATA数据泄露网站上公开这些信息，以此施压要求支付赎金。

从2025年3月左右开始，该组织升级了攻击手法，开始冒充企业内部IT帮助台人员，利用Zoom、Teams等企业通信平台来绕过传统安全控制。这种策略的转变标志着社会工程攻击正在变得更加”企业化”和”专业化”。

你的安全防线到了物理层吗？

UNC3753的攻击活动给企业安全团队敲响了一个警钟：当攻击者愿意亲自走进你的办公室来窃取数据时，你的安全防线是否覆盖到了物理层？

传统的网络安全架构主要关注网络边界、端点防护和身份认证。但当攻击者通过社交工程获取了员工的信任，甚至物理上出现在办公室里，这些技术防线就会变得脆弱。企业需要重新审视自己的安全体系：

人员层面： 加强安全意识培训，特别是关于语音钓鱼和社交工程的识别。建立明确的IT支持验证流程——当有人自称是IT部门要求安装软件时，员工应该知道如何验证对方身份。

流程层面： 建立远程访问的标准操作流程，禁止未经IT部门正式批准安装任何远程管理工具。

物理层面： 加强访客管理和门禁系统，实施桌面安全策略（包括USB端口管控），确保物理安全和网络安全的协同防御。

在攻击者的手段越来越多样化的今天，真正的安全不仅仅是技术问题，更是人员、流程和技术的全面协同。

参考来源： – Google Mandiant: UNC3753 Targeted Campaign Against U.S. Law Firms – FBI Advisory: Silent Ransom Group Physical Intrusion Warning – The Hacker News: UNC3753 Used Vishing and Physical Intrusions in U.S. Data Theft Extortion Campaign