Acteur de vol de fret : persistance via RMM multiples et signing-as-a-service inconnu

🔍 Contexte

Publié le 14 avril 2026 par Proofpoint Threat Research, cet article présente les résultats d’une surveillance étendue (plus d’un mois) d’un acteur malveillant spécialisé dans le vol de fret et la fraude au transport, opérée dans un environnement leurre géré par Deception.pro à partir de fin février 2026.

🎯 Accès initial

Le 27 février 2026, après avoir compromis une plateforme de load board, l’acteur a livré un payload malveillant par email à des transporteurs. Le payload consistait en un fichier VBS qui :

• Téléchargeait et exécutait un script PowerShell
• Installait l’outil d’accès distant ScreenConnect
• Affichait un faux accord courtier-transporteur pour masquer l’activité malveillante

🔧 Persistance via outils RMM multiples

L’acteur a installé plusieurs outils de gestion à distance en parallèle pour assurer la redondance :

• Quatre instances distinctes de ScreenConnect
• Pulseway RMM
• SimpleHelp RMM

🔏 Signing-as-a-Service inconnu

Une quatrième instance ScreenConnect, déployée fin mars, utilisait un service de signature de code tiers inconnu hébergé à signer.bulbcentral[.]com. Ce service re-signait les installateurs ScreenConnect avec un certificat valide mais frauduleux (émis au nom de STEPHEN WHANG, CPA, INC., via Sectigo). Le processus :

1. Construction d’une URL MSI depuis l’infrastructure attaquant (amtechcomputers[.]net)
2. Soumission au service de signature externe
3. Téléchargement du MSI re-signé depuis un bucket S3 contrôlé
4. Remplacement des binaires ScreenConnect révoqués par des versions re-signées

Cette technique permettait de contourner les révocations de certificats ConnectWise et les contrôles de confiance des endpoints. Le certificat a été révoqué suite à la collaboration avec le chercheur @Squiblydoo.

🕵️ Activité post-compromission (HOK)

• ~3 jours après l’intrusion : accès manuel au site PayPal via le navigateur
• ~8 jours après : exécution d’un binaire PyInstaller pour scanner et exfiltrer les portefeuilles crypto (extensions navigateur et desktop) vers des bots Telegram contrôlés par l’attaquant

📊 Reconnaissance via PowerShell

Au moins 13 scripts PowerShell ont été exécutés, ciblant :

• Énumération des comptes locaux et profils navigateur
• Extraction de l’historique de navigation (Chrome, Edge, Firefox, Chromium)
• Recherche d’accès à des plateformes financières, logistiques et de paiement
• Exfiltration des métadonnées vers des bots Telegram
• Stockage d’artefacts dans des répertoires cachés (C:\H)
• Création de tâches planifiées SYSTEM différées pour contourner les proxies

Les plateformes ciblées incluaient : banques américaines, services de transfert d’argent, comptabilité en ligne, systèmes de paiement interbancaires, cartes carburant fleet, plateformes de courtage fret et load boards.

📋 Type d’article

Il s’agit d’une analyse technique et d’un rapport d’incident détaillant les TTPs post-compromission d’un acteur cybercriminel ciblant le secteur du transport, avec pour but principal de documenter les outils, comportements et IOCs observés dans un environnement leurre contrôlé.

🧠 TTPs et IOCs détectés

TTP

• T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
• T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
• T1059.005 — Command and Scripting Interpreter: Visual Basic (Execution)
• T1219 — Remote Access Software (Command and Control)
• T1553.002 — Subvert Trust Controls: Code Signing (Defense Evasion)
• T1547.005 — Boot or Logon Autostart Execution: Security Support Provider (Persistence)
• T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
• T1083 — File and Directory Discovery (Discovery)
• T1087.001 — Account Discovery: Local Account (Discovery)
• T1217 — Browser Information Discovery (Discovery)
• T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
• T1567 — Exfiltration Over Web Service (Exfiltration)
• T1102 — Web Service (Command and Control)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
• T1518.001 — Software Discovery: Security Software Discovery (Discovery)
• T1539 — Steal Web Session Cookie (Credential Access)
• T1560 — Archive Collected Data (Collection)

IOC

• IPv4 : 147.45.218.0 — AbuseIPDB · VT · ThreatFox
• Domaines : carrier-packets-docs.com — VT · URLhaus · ThreatFox
• Domaines : qto12q.top — VT · URLhaus · ThreatFox
• Domaines : nq251os.top — VT · URLhaus · ThreatFox
• Domaines : officcee404.com — VT · URLhaus · ThreatFox
• Domaines : af124i1agga.anondns.net — VT · URLhaus · ThreatFox
• Domaines : amtechcomputers.net — VT · URLhaus · ThreatFox
• Domaines : signer.bulbcentral.com — VT · URLhaus · ThreatFox
• Domaines : screlay.amtechcomputers.net — VT · URLhaus · ThreatFox
• URLs : https://carrier-packets-docs.com/FREEDOM_FREIGHT_SERVICES_CARRIERS_ONBOARDING.vbs — URLhaus
• URLs : https://qto12q.top/pdf.ps1 — URLhaus
• URLs : https://services-sc-files.s3.us-east-2.amazonaws.com — URLhaus
• SHA256 : 1f89a432471ec2efe58df788c576007d6782bbdf5b572a5fbf5da40df536c9f5 — VT · MalwareBazaar
• SHA256 : f4977bfeae2a957add1aaf01804d2de2a5a5f9f1338f719db661ac4f53528747 — VT · MalwareBazaar
• SHA256 : d9832d9208b2c4a34cf5220b1ebaf11f0425cf638ac67bf4669b11c80e460f58 — VT · MalwareBazaar
• SHA256 : 7f54cf5e2beb3f1f5d2b3ba1c6a16ce1927ffecd20a9d635329b1e16cb74fb14 — VT · MalwareBazaar
• SHA256 : de30bb1e367d8c9b8b7d5e04e5178f2758157302638f81480ba018331a6f853e — VT · MalwareBazaar
• SHA256 : b861e3682ca3326d6b29561e4b11f930f4a9f10e9588a3d48b09aa6c36a8ea80 — VT · MalwareBazaar
• SHA256 : 82d603c0b387116b7effdee6f361ca982c188de0c208e681e942300a0139c03f — VT · MalwareBazaar
• SHA256 : 8a3d6a6870b64767ad2cc9ad4db728abf08bae84726b06be6cb97faac6c14ae4 — VT · MalwareBazaar
• SHA256 : 3dcb89430bae8d89b9879da192351506f4fdb7c67e253a27f58b3bf52101cd4c — VT · MalwareBazaar
• Fichiers : FREEDOM_FREIGHT_SERVICES_CARRIERS_ONBOARDING.vbs
• Fichiers : pdf.ps1
• Fichiers : ScreenConnect.Client.exe
• Chemins : C:\H

Malware / Outils

• ScreenConnect (rat)
• Pulseway RMM (tool)
• SimpleHelp RMM (tool)
• Cryptocurrency Wallet Stealer (PyInstaller) (stealer)

🟢 Indice de vérification factuelle : 90/100 (haute)

• ✅ proofpoint.com — source reconnue (liste interne) (20pts)
• ✅ 12925 chars — texte complet (fulltext extrait) (15pts)
• ✅ 25 IOCs dont des hashes (15pts)
• ✅ 6/10 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 18 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• 147.45.218.0 (ip) → VT (3/94 détections)
• 1f89a432471ec2ef… (sha256) → VT (7/77 détections)
• f4977bfeae2a957a… (sha256) → VT (23/77 détections)
• carrier-packets-docs.com (domain) → VT (18/94 détections)
• qto12q.top (domain) → VT (18/94 détections)

🔗 Source originale : https://www.proofpoint.com/us/blog/threat-insight/beyond-breach-inside-cargo-theft-actors-post-compromise-playbook