Los delincuentes se centran cada vez más en las empresas de transporte y logística con el objetivo de infectarlas con un software de monitoreo y gestión remotos (RMM) para obtener beneficios económicos y, en última instancia, robar el flete de carga.
Se dice que el grupo de amenazas, que según Proofpoint está activo al menos desde junio de 2025, colabora con grupos del crimen organizado para entrar en entidades de la industria del transporte terrestre con el objetivo final de saquear bienes físicos. Los productos más selectivos de los robos con fines cibernéticos son los alimentos y las bebidas.
«Lo más probable es que la carga robada se venda en línea o se envíe al extranjero», dicen los investigadores Ole Villadsen y Selena Larson dijo en un informe compartido con The Hacker News. «En las campañas observadas, los actores de las amenazas tienen como objetivo infiltrarse en las empresas y utilizar su acceso fraudulento para pujar por envíos reales de productos y, en última instancia, robarlos».
Las campañas comparten similitudes con un conjunto anterior de ataques divulgado en septiembre de 2024, que implicó atacar a las empresas de transporte y logística de Norteamérica con ladrones de información y troyanos de acceso remoto (RAT), como Lumma Stealer, StealC o NetSupport RAT. Sin embargo, no hay pruebas que sugieran que sean obra del mismo actor de amenazas.
En la actual ola de intrusiones detectada por Proofpoint, los atacantes desconocidos han utilizado varios métodos, como cuentas de correo electrónico comprometidas para secuestrar las conversaciones existentes, atacar a transportistas basados en activos, empresas de corretaje de carga y proveedores de cadenas de suministro integradas con correos electrónicos de suplantación de identidad automática y publicar listados de carga fraudulentos utilizando cuentas pirateadas en las tablas de carga.
«El actor publica listados de carga fraudulentos utilizando cuentas comprometidas en las tablas de carga y, a continuación, envía correos electrónicos con URL maliciosas a los transportistas que solicitan información sobre las cargas», afirma. «Esta táctica explota la confianza y la urgencia inherentes a las negociaciones de flete».
No hace falta decir que las URL maliciosas incrustadas en los mensajes conducen a instaladores o ejecutables MSI con trampas explosivas que implementan herramientas de RMM legítimas, como ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able y LogMeIn Resolve. En algunos casos, varios de estos programas se utilizan a la vez, y PDQ Connect se utiliza para eliminar e instalar ScreenConnect y SimpleHelp.
Una vez obtenido el acceso remoto, los atacantes pasan a realizar un reconocimiento del sistema y la red, y luego dejan caer herramientas de recolección de credenciales, como Navegador web Passview para capturar credenciales adicionales y profundizar en la red corporativa.
Al menos en un caso, se cree que el autor de la amenaza utilizó como arma el acceso para eliminar las reservas existentes y bloquear las notificaciones del despachador, y luego añadió su propio dispositivo a la extensión telefónica del despachador, reservó las cargas a nombre del transportista comprometido y coordinó el transporte.
El uso del software RMM ofrece varias ventajas. En primer lugar, evita la necesidad de que los actores de amenazas diseñen malware a medida. En segundo lugar, también les permite pasar desapercibidos, debido a la prevalencia de este tipo de herramientas en los entornos empresariales, y las soluciones de seguridad no suelen marcarlas como maliciosas.
«Es bastante fácil para los atacantes crear y distribuir herramientas de monitoreo remoto propiedad de los atacantes y, dado que a menudo se utilizan como software legítimo, los usuarios finales pueden sospechar menos a la hora de instalar RMM que otros troyanos de acceso remoto», Proofpoint apuntado en marzo de 2025. «Además, estas herramientas pueden eludir la detección de los antivirus o de la red, ya que los instaladores suelen utilizar cargas legítimas firmadas y distribuidas de forma malintencionada».