Los malos actores están apuntando cada vez más a las empresas de transporte y logística con el objetivo de infectarlas con software de gestión y monitoreo remoto (RMM) para obtener ganancias financieras y, en última instancia, robar la carga.
Se dice que el grupo de amenazas, que se cree que está activo desde al menos junio de 2025 según Proofpoint, está colaborando con grupos del crimen organizado para irrumpir en entidades de la industria del transporte de superficie con el objetivo final de saquear bienes físicos. Los productos más atacados por los atracos cibernéticos son los alimentos y bebidas.
«Lo más probable es que la carga robada se venda en línea o se envíe al extranjero», dijeron los investigadores Ole Villadsen y Selena Larson en un informe compartido con The Hacker News. «En las campañas observadas, los actores de amenazas pretenden infiltrarse en las empresas y utilizar su acceso fraudulento para pujar por envíos reales de mercancías para, en última instancia, robarlos».
Las campañas comparten similitudes con un conjunto anterior de ataques revelados en septiembre de 2024 que involucraban apuntar a empresas de transporte y logística en América del Norte con ladrones de información y troyanos de acceso remoto (RAT) como Lumma Stealer, StealC o NetSupport RAT. Sin embargo, no hay evidencia que sugiera que sean obra del mismo actor de amenazas.
En la actual ola de intrusiones detectada por Proofpoint, los atacantes desconocidos han aprovechado múltiples métodos, incluidas cuentas de correo electrónico comprometidas para secuestrar conversaciones existentes, apuntando a transportistas basados en activos, firmas de corretaje de carga y proveedores de cadenas de suministro integradas con correos electrónicos de phishing, y publicando listados de carga fraudulentos utilizando cuentas pirateadas en tableros de carga.
«El actor publica listas de carga fraudulentas utilizando cuentas comprometidas en tableros de carga y luego envía correos electrónicos que contienen URL maliciosas a los transportistas que preguntan sobre las cargas», dijo. «Esta táctica explota la confianza y la urgencia inherentes a las negociaciones de transporte de mercancías».
No hace falta decir que las URL maliciosas incrustadas en los mensajes conducen a instaladores o ejecutables MSI trampa que implementan herramientas RMM legítimas como ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able y LogMeIn Resolve. En casos seleccionados, varios de estos programas se usan juntos, y PDQ Connect se usa para eliminar e instalar ScreenConnect y SimpleHelp.
Una vez que se obtiene el acceso remoto, los atacantes realizan un reconocimiento del sistema y de la red, seguido de herramientas de recolección de credenciales como WebBrowserPassView para capturar credenciales adicionales y profundizar en la red corporativa.
En al menos un caso, se cree que el actor de amenazas utilizó el acceso como arma para eliminar reservas existentes y bloquear notificaciones del despachador, y luego agregó su propio dispositivo a la extensión telefónica del despachador, reservó cargas bajo el nombre del transportista comprometido y coordinó el transporte.
El uso del software RMM ofrece varias ventajas. En primer lugar, elimina la necesidad de que los actores de amenazas diseñen malware a medida. En segundo lugar, también les permite pasar desapercibidos, debido a la prevalencia de este tipo de herramientas en entornos empresariales, y las soluciones de seguridad normalmente no las marcan como maliciosas.
«Es bastante fácil para los actores de amenazas crear y distribuir herramientas de monitoreo remoto propiedad de los atacantes, y debido a que a menudo se usan como piezas de software legítimas, los usuarios finales pueden sospechar menos de instalar RMM que otros troyanos de acceso remoto», señaló Proofpoint en marzo de 2025. «Además, dichas herramientas pueden evadir la detección de antivirus o de red porque los instaladores a menudo son cargas útiles legítimas y firmadas distribuidas de forma maliciosa».