Die Warnung des FBI beschreibt einen mehrstufigen Ablauf. Zunächst kontaktieren die Täter Beschäftigte per Telefon oder Phishing-Mail und geben sich als IT-Support aus. Ziel ist es, über legitime Fernwartungs-Werkzeuge Zugang zum Rechner des Opfers zu erlangen und Daten abzuziehen. Gelingt das nicht, eskaliert die Gruppe und entsendet eine Person an den Standort des betroffenen Unternehmens, um physisch auf die Computer zuzugreifen.

Als mögliche Anzeichen eines SRG-Angriffs nennt das FBI die unbefugte Installation externer Festplatten oder USB-Sticks an Firmenrechnern sowie die Anwesenheit nicht identifizierter oder unbefugter Personen, die sich als IT-Support ausgeben und versuchen, auf Computer zuzugreifen.

Mit den erbeuteten Daten erpressen die Täter ihre Opfer: Sie verschicken eine Lösegeld-Mail, in der sie drohen, die Daten zu verkaufen oder auf ihrer Leak-Seite zu veröffentlichen. Zusätzlich rufen sie Beschäftigte oder Kunden der Opfer an, um Druck für den Beginn von Lösegeldverhandlungen aufzubauen.

Die Gruppe ist auch unter den Namen Luna Moth, Chatty Spider und UNC3753 bekannt. Sie ist seit mindestens 2022 aktiv und greift seit Anfang 2023 Rechts- und Finanzorganisationen in den USA an. Nach früheren Berichten von BleepingComputer wurden dieselben Akteure mit BazarCall-Kampagnen in Verbindung gebracht, die bei Conti- und Ryuk-Ransomware-Angriffen den ersten Zugang zu Unternehmensnetzwerken verschafften. Im März 2022, nach der Abschaltung von Conti, lösten sie sich aus dem Verbund und gründeten die Silent Ransom Group, die für Datendiebstahl und Erpressung nach gezielten Phishing-Angriffen bekannt ist.

Die aktuelle Flash-Warnung folgt auf eine FBI-Mitteilung an die Privatwirtschaft vom Mai 2025, derzufolge dieselbe Erpressergruppe seit mehr als zwei Jahren US-Kanzleien mit Rückruf-Phishing und Social Engineering angreift. Ein ebenfalls im Mai 2025 veröffentlichter Bericht von EclecticIQ über die Angriffe der Gruppe auf Rechts- und Finanzinstitute in den USA zeigte zudem, dass die Angreifer Domains registrieren, um mit Tippfehler-Varianten bekannter Adressen IT-Helpdesks oder Support-Portale großer US-Kanzleien und Finanzdienstleister nachzuahmen.