Wed, 08 Apr 2026
← VoltarO UNC6783 tem como alvo os provedores de BPO para acessar empresas de alto valor e exfiltrar dados confidenciais para extorsão. Eles usam engenharia social, phishing e contato direto com a equipe de suporte.
Um ator de ameaça identificado como UNC6783 está comprometendo provedores de terceirização de processos de negócios (BPO) para obter acesso a empresas de alto valor em vários setores. De acordo com o Google Threat Intelligence Group, dezenas de entidades corporativas foram alvo deste método para exfiltrar dados confidenciais para extorsão. Austin Larsen, principal analista de ameaças do GTIG, diz que o UNC6783 normalmente depende de engenharia social e campanhas de phishing para comprometer os BPOs que trabalham com empresas-alvo. No entanto, houve casos em que os hackers também contactaram o pessoal de suporte e helpdesk das organizações visadas, numa tentativa de obter acesso direto.
Os pesquisadores dizem que UNC6783 pode estar ligado a Raccoon, uma pessoa conhecida por ter como alvo vários BPOs que prestam serviços a grandes empresas. Em ataques de engenharia social por chat ao vivo, o agente da ameaça direciona os funcionários de suporte para páginas de login falsificadas do Okta hospedadas em domínios que se fazem passar pelos da empresa alvo e seguem o padrão <org>[.]zendesk-support<##>[.]com . Larsen diz que o kit de phishing implantado nesses ataques pode roubar o conteúdo da área de transferência para contornar a proteção da autenticação multifator (MFA), permitindo que o invasor registre seu dispositivo na organização. O Google também observou ataques em que o UNC6783 distribuiu atualizações de segurança falsas para entregar malware de acesso remoto.
Depois de roubar dados confidenciais, o agente da ameaça extorquiu as vítimas, contatando-as por meio de endereços ProtonMail com exigências de pagamento. Embora o GTIG não tenha oferecido mais informações sobre o Raccoon, a conta de inteligência de ameaças International Cyber Digest revelou recentemente que alguém usando o pseudônimo “Sr. Raccoon” alegou uma violação na Adobe, que a empresa ainda não confirmou. O invasor alegou ter obtido acesso aos dados da Adobe depois de comprometer um BPO com sede na Índia que trabalhava para a empresa.
Eles implantaram um trojan de acesso remoto (RAT) no computador de um funcionário e posteriormente atacaram o gerente do funcionário em um ataque de phishing. Raccoon disse que eles roubaram 13 milhões de tickets de suporte contendo dados pessoais, registros de funcionários, envios do HackerOne e documentos internos. Em conversas com o BleepingComputer, o responsável pela ameaça por trás da violação do CrunchyRoll confirmou que também estava por trás do ataque à Adobe, mas não forneceu nenhuma evidência. Mandiant do Google listou várias recomendações de defesa contra ataques UNC6783, incluindo a implantação de chaves de segurança FIDO2 para MFA, monitoramento de chat ao vivo em busca de abuso, bloqueio de domínios falsificados que correspondam aos padrões do Zendesk e auditoria regular de registros de dispositivos MFA.