L’attaccante ha abusato di più strumenti di accesso remoto per stabilire persistenza, incluso l’utilizzo di una funzionalità di signing-as-a-service di terze parti in precedenza sconosciuta
A fine febbraio 2026, i ricercatori di Proofpoint hanno eseguito un payload malevolo da un attore di minaccia che prendeva di mira aziende di trasporti all’interno di un ambiente esca controllato, gestito dai partner di Deception.pro. Sebbene l’ambiente non fosse un’azienda di trasporti, è rimasto compromesso per oltre un mese, offrendo una rara e prolungata visibilità su operazioni post-compromissione, strumenti e processi decisionali.
Proofpoint aveva precedentemente documentato le campagne di questo attore rivolte ad aziende di trasporto e logistica per facilitare furto di merci e frodi nei trasporti. In questo caso, l’interazione estesa ha rivelato la persistenza attraverso più strumenti di gestione remota, l’uso di una funzionalità di signing as a service in precedenza sconosciuta, progettata per eludere il rilevamento ed eliminare gli avvisi di sicurezza, e un’ampia attività di ricognizione post-compromissione.
Questa ricognizione si è concentrata sull’identificazione dell’accesso finanziario – quali servizi bancari, contabilità, software fiscale e servizi di trasferimento di denaro – nonché di entità legate ai trasporti, inclusi servizi di carte carburante, piattaforme di pagamento flotte e operatori di bacheche di carico. Quest’ultima attività era probabilmente progettata per supportare crimini contro l’industria dei trasporti, inclusi furto di merci e relative frodi finanziarie.
Un attore noto, una nuova prospettiva
A novembre 2025, Proofpoint aveva pubblicato una ricerca che descriveva come un attore di minacce sfruttava bacheche di carico compromesse per ottenere accesso alle aziende di autotrasporto, consentendo così il dirottamento delle merci e il furto di carichi. Sebbene quella ricerca si concentrasse su accesso iniziale e impatto sugli obiettivi, le opportunità di osservare le operazioni post-compromissione dell’attore erano limitate.
Il 27 febbraio 2026, dopo aver compromesso una piattaforma di carico, l’autore dell’attacco ha inviato tramite e-mail un payload dannoso a diversi vettori, chiedendo informazioni su carichi pubblicizzati in modo fraudolento. Le piattaforme di carico sono marketplace online che mettono in contatto spedizionieri e intermediari di trasporto con i vettori automobilistici pubblicizzando i carichi disponibili. La sua successiva attività ha fornito ai ricercatori di Proofpoint una visione insolitamente dettagliata degli strumenti post-compromissione, degli script, del comportamento di ricognizione e del processo decisionale guidato dall’operatore.
Questa intrusione prolungata evidenzia come gli attori di minacce motivati finanziariamente che prendono di mira le aziende di trasporti operino ben oltre l’accesso iniziale, dando priorità a persistenza, ricognizione e raccolta di credenziali per identificare opportunità di sfruttamento finanziario attraverso le piattaforme di trasporto e finanziarie correlate. Parti di questa attività sono anche coerenti con il comportamento preparatorio osservato nelle operazioni di furto di merci e di deviazione del carico.
In particolare, l’uso di una funzionalità di signing as a service sottolinea una crescente tendenza all’uso da parte degli attaccanti di meccanismi di fiducia legittimi per eludere il rilevamento.
Per le aziende di trasporti, logistica e merci, questi risultati rafforzano l’importanza di monitorare gli strumenti di gestione remota non autorizzati, l’attività sospetta di PowerShell e la telemetria anomala del browser associata all’accesso alle piattaforme finanziarie.
La ricerca completa è disponibile qui
