Source: Proofpoint (Threat Insight Blog). Contexte: analyse d’un cluster d’activité depuis au moins juin 2025 visant des transporteurs et courtiers fret nord-américains pour faciliter des vols de cargaisons via l’abus d’outils RMM légitimes.

• Proofpoint suit un cluster de cybercriminalité ciblant les transporteurs et courtiers afin de détourner des cargaisons réelles. Les acteurs utilisent des RMM/RAS comme ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N‑able et LogMeIn Resolve, souvent en tandem (ex: PDQ Connect installe ScreenConnect et SimpleHelp). L’objectif est d’obtenir un accès à distance discret pour usurper des identités, enchérir sur des chargements et voler les marchandises, revendues ensuite en ligne ou expédiées à l’étranger. 🚚🖥️

• Chaîne d’attaque observée: compromission d’un compte de load board (bourse de fret), publication d’un faux chargement, puis envoi d’URL malveillantes aux transporteurs qui se manifestent. Les emails mènent vers des .exe/.msi installant un RMM. Les campagnes emploient trois tactiques: 1) compromission de load boards et réponses par email avec liens malveillants, 2) hijacking de fils de discussion (injection de liens dans des conversations existantes), 3) ciblage direct par email d’acteurs plus importants (transporteurs, courtiers, intégrateurs supply chain). Des pages/domaine d’hameçonnage imitent des marques/termes transport pour crédibiliser l’ingénierie sociale.

• Portée et temporalité: activité active depuis au moins juin 2025 (indices jusqu’en janvier 2025). Depuis août 2025, près de deux douzaines de campagnes ont été observées, de <10 à >1 000 messages chacune. Des liens existent avec des campagnes 2025 distribuant NetSupport et 2024‑2025 visant le transport terrestre avec DanaBot, Lumma Stealer et StealC, sans attribution formelle. Les acteurs montrent une bonne connaissance des processus métiers du fret et ciblent opportunistement tout transporteur répondant à leurs annonces.

• Post‑exploitation et discrétion: une fois l’accès établi, les acteurs mènent reconnaissance et collecte d’identifiants (ex: WebBrowserPassView). L’usage de RMM signés et légitimes permet de passer sous les radars (moins de suspicion utilisateur, meilleure évasion AV/réseau). Un retour public illustre des actions malveillantes: suppression de réservations, blocage de notifications, ajout d’un appareil à l’extension du répartiteur, réservation de chargements sous l’identité de la victime, puis coordination du transport.

• Cadre et détection: le phénomène s’inscrit dans une hausse du vol de cargaisons (NICB: +27% en 2024, +22% attendus en 2025). Proofpoint fournit des signatures Emerging Threats et des IOCs associés.

TTPs clés (extraits):

  • Initial access: compromission de comptes de load boards, email thread hijacking, campagnes d’hameçonnage direct.
  • Delivery: URLs vers .exe/.msi installant des RMM légitimes; domaines d’imitation liés au fret.
  • Execution/Persistence: ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N‑able, LogMeIn Resolve; parfois PDQ déploie d’autres RMM.
  • Discovery/Cred harvesting: reconnaissance réseau/système; WebBrowserPassView.
  • Impact: enchères et réservations de chargements sous identité de victimes; détournement de cargaisons.

Signatures Emerging Threats (exemples):

  • 2837962 – ScreenConnect - Establish Connection Attempt
  • 2050021 – DNS vers domaine ScreenConnect/ConnectWise
  • 2054938 – PDQ Remote Management Agent Checkin
  • 2065069 – DNS vers domaine RMM (n-able .com)
  • 2065076 – DNS vers domaine RMM (remote .management)
  • 2049863 – simplehelp Remote Access Software Activity
  • 2047669 – DNS vers domaine fleetdeck (fleetdeck .io)
  • 2061989 – DNS vers domaine RMM (gotoresolve .com)

IOCs (sélection):

  • Domains de staging (2025):
    • Octobre: carrier-packets[.]net, claimeprogressive[.]com, confirmation-rate[.]com, wjwrateconfirmation[.]com, rateconfirm[.]net, ilove-pdf[.]net, vehicle-release[.]com, carrierpack[.]net, car-hauling[.]com, carrier-packets[.]com
    • Septembre: i-lovepdf[.]net, fleetcarrier[.]net, scarrierpack[.]com, carrieragreements[.]com, brokeragepacket[.]com, brokerpackets[.]com, centraldispach[.]net, carriersetup[.]net, brokercarriersetup[.]com, carrierpacket[.]online
    • Août: billpay-info[.]com, nextgen223[.]com
    • Juillet: fleetgo0[.]com, nextgen1[.]net
    • Juin: nextgen01[.]net, ratecnf[.]com, ratecnf[.]net
  • C2/infra RMM:
    • ScreenConnect: dwssa[.]top (Juin 2025), ggdt35[.]anondns[.]net (Août 2025), qtq2haw[.]anondns[.]net (Sept. 2025), officews101[.]com (Sept. 2025), instance-hirb01-relay[.]screenconnect[.]com (Sept. 2025)
    • SimpleHelp IPs: 185[.]80[.]234[.]36 (Août 2025), 147[.]45[.]218[.]66 (Sept. 2025)

Conclusion: analyse de menace détaillant des campagnes de cyber‑enabled cargo theft contre le transport routier/logistique, leurs TTPs, et des IOCs/signatures pour la détection.

🧠 TTPs et IOCs détectés

TTP

[‘Initial access: compromission de comptes de load boards’, ‘Initial access: email thread hijacking’, ‘Initial access: campagnes d’hameçonnage direct’, ‘Delivery: URLs vers .exe/.msi installant des RMM légitimes’, ‘Delivery: domaines d’imitation liés au fret’, ‘Execution/Persistence: ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N‑able, LogMeIn Resolve’, ‘Discovery/Cred harvesting: reconnaissance réseau/système’, ‘Discovery/Cred harvesting: WebBrowserPassView’, ‘Impact: enchères et réservations de chargements sous identité de victimes’, ‘Impact: détournement de cargaisons’]

IOC

{‘domains’: [‘carrier-packets.net’, ‘claimeprogressive.com’, ‘confirmation-rate.com’, ‘wjwrateconfirmation.com’, ‘rateconfirm.net’, ‘ilove-pdf.net’, ‘vehicle-release.com’, ‘carrierpack.net’, ‘car-hauling.com’, ‘carrier-packets.com’, ‘i-lovepdf.net’, ‘fleetcarrier.net’, ‘scarrierpack.com’, ‘carrieragreements.com’, ‘brokeragepacket.com’, ‘brokerpackets.com’, ‘centraldispach.net’, ‘carriersetup.net’, ‘brokercarriersetup.com’, ‘carrierpacket.online’, ‘billpay-info.com’, ’nextgen223.com’, ‘fleetgo0.com’, ’nextgen1.net’, ’nextgen01.net’, ‘ratecnf.com’, ‘ratecnf.net’, ‘dwssa.top’, ‘ggdt35.anondns.net’, ‘qtq2haw.anondns.net’, ‘officews101.com’, ‘instance-hirb01-relay.screenconnect.com’], ‘ips’: [‘185.80.234.36’, ‘147.45.218.66’]}

🔗 Source originale : https://www.proofpoint.com/us/blog/threat-insight/remote-access-real-cargo-cybercriminals-targeting-trucking-and-logistics