Die Gruppe wird auch unter den Namen Luna Moth, Chatty Spider und UNC3753 geführt. Nach Angaben des FBI ist sie mindestens seit 2022 aktiv und entstand im Zuge des Zusammenbruchs des Conti-Ransomware-Verbunds. In früheren Varianten ihrer Operationen setzte SRG auf Phishing-Mails über angebliche Abonnementgebühren: Die Opfer wurden aufgefordert, eine Telefonnummer anzurufen und zur vermeintlichen Klärung eine Fernzugriffssoftware herunterzuladen.

Die jüngste, in diesem Frühjahr beobachtete Kampagne folgt einem anderen Muster. Die Angreifer geben sich als internes IT-Personal aus und kontaktieren Mitarbeiter per Anruf oder Phishing-Mail mit der Aufforderung, sich an einen scheinbaren Helpdesk des Unternehmens zu wenden. Im Verlauf dieser Gespräche werden die Beschäftigten dazu gebracht, Fernzugriff auf ihre Rechner zu gewähren, sodass sich die Täter rasch durch die Unternehmenssysteme bewegen und Dateien entwenden können.

Scheitert dieser Weg, schickt die Gruppe laut FBI mitunter eine Person direkt in das Büro des Opfers, um physischen Zugang zu einem Computer zu erhalten. Diese gibt vor, ein Backup anlegen oder ein Gerät abbilden zu müssen, um ein angebliches Sicherheitsproblem zu beheben, und kopiert die Daten dann über externe Speichermedien auf Festplatten oder USB-Geräte.

Das FBI weist darauf hin, dass sich die Aktivitäten der Gruppe nur schwer erkennen lassen, da sie stark auf legitime Werkzeuge zur Fernwartung und Systemadministration setzt, wie sie in IT-Abteilungen üblich sind. Gestohlene Daten werden häufig über vertrauenswürdige Cloud-Plattformen wie Google Drive und Microsoft OneDrive übertragen, wodurch sich die schädlichen Vorgänge im normalen Geschäftsbetrieb verbergen.

Neben Kanzleien hat SRG dem FBI zufolge auch Organisationen aus dem Gesundheits-, Versicherungs- und Finanzsektor ins Visier genommen. Bereits 2025 hatte die Behörde eine ähnliche Warnung zu den Aktivitäten der Gruppe herausgegeben.

Wie viele US-Kanzleien in der jüngsten Kampagne angegriffen wurden und ob einzelne Eindringversuche erfolgreich waren, gab das FBI nicht an.