Un groupe criminel visant à obtenir des avantages économiques, identifiés par les chercheurs comme Vortex diesel a mis en place une campagne de phishing sophistiquée pour les opérateurs de transport et de logistique aux États-Unis et en Europe. Selon l'analyse publiée par la plate-forme de surveillance typosquating J'ai été squatté l'opération a commencé en septembre 2025 et a employé au moins 52 domaines pour son infrastructure frauduleuse, avec un total de près de 3 500 paires de lettres de créances capturées et 1 649 pouvoirs uniques fiancé.
Les cibles n'étaient pas des entreprises technologiques connues pour leur sécurité, mais des plates-formes et des services que le secteur des transports utilise quotidiennement: bourses de fret, forums de flotte, systèmes de cartes de carburant et portails de gestion des transports. Parmi les victimes identifiées figurent les noms du secteur DAT Camionstop, TIMOCOM, Téléroute, Penske Logistics, Girteka et Source de fonds électroniques. Ces plates-formes sont à l'intersection entre volume élevé des transactions et un groupe d'utilisateurs - conducteurs, agents et corralone - qui ne sont souvent pas au cœur des programmes traditionnels de sécurité des entreprises.
L'enquête a commencé lorsque les experts de Have I Been Squatted ont rencontré un dépôt exposé contenant une base de données SQL appartenant à un projet d'hameçonnage nommé par ses auteurs comme "Global Profit" et commercialisé parmi les criminels comme "MC Profit Always". Dans ce dépôt, il y avait aussi des enregistrements de Webhooks Telegram qui laissaient en vue les communications internes du service, ce qui permettait aux analystes de reconstruire des parties importantes de l'opération.
Les détails techniques décrits par les chercheurs montrent une chaîne de tromperie soigneusement conçue. Les e-mails malveillants ont été envoyés par un expéditeur intégré dans le kit d'hameçonnage à l'aide de services SMTP légitimes tels que Zoho et Zeptomail, et ils ont utilisé des trucs homographes cyrilliques dans l'expéditeur et la matière pour disperser des filtres. En cliquant sur le lien, la victime a été dirigée vers une page HTML minimale dans un domaine ".com" qui a chargé un iphrame complet avec le véritable contenu d'hameçonnage à l'écran, puis a appliqué un processus d'applacement en jusqu'à neuf étapes sur les domaines système (.top / .icu) pour cacher l'origine réelle.
Les pages frauduleuses n'étaient pas négligées : elles étaient des répliques au niveau du pixel des plates-formes attaquées. Selon la cible, ces pages pourraient capter non seulement l'utilisateur et le mot de passe, mais aussi des données sensibles à partir des permissions, des numéros MC / DOT, des identifiants RMIS, PINS, des codes d'authentification à deux facteurs, des jetons de sécurité, des montants et des bénéficiaires de paiement, ou vérifier des numéros. Bref, accès et matériel suffisant pour détourner des opérations logistiques ou détourner des expéditions.
L'opération du groupe semble très organisée. Les chercheurs ont trouvé une carte mentale liée au projet qui a détaillé une structure avec centre d'appels, support postal, programmeurs et personnel dédié à la localisation des conducteurs, transporteurs et contacts logistiques. Ce régime décrit les voies d'approvisionnement comme des marchés de fret, des campagnes de courrier et des tactiques de fraude de confirmation fiscale, en plus d'un modèle de revenu de niveau. Les éléments de preuve indiquent que les justificatifs d'identité saisis ont été non seulement vendus, mais utilisés pour des opérations subséquentes : remplacement du fret, engagement de la boîte aux lettres et plans de double courtage ou de détournement du chargement.
Le double courtage consiste à utiliser l'identité des transporteurs volés pour louer des services de transport et, une fois la cargaison en transit, à la rediriger vers des points de collecte frauduleux où elle disparaît. L'impact réel n'est pas seulement numérique: nous parlons de marchandises volées, de paiements qui ne viennent jamais à droite et d'une chaîne de frustrations et de pertes pour les propriétaires de fret et les transporteurs.
Un autre aspect préoccupant de la campagne a été l'utilisation de canaux de voix pour tromper les gens (vishing) et l'infiltration de canaux populaires de télégramme parmi les professionnels des transports, ce qui a facilité le recrutement des victimes et la coordination opérationnelle. Les opérateurs d'hameçonnage contrôlaient le flux d'attaque en temps réel au moyen de robots Telegram qui permettaient d'approuver des phases, de demander des mots de passe supplémentaires ou même de bloquer la victime en milieu de session au fur et à mesure que la tromperie se développait.
La recherche, en plus de la pièce centrale de Have I Been Squatted, a été soutenue par la société de tokenisation et OSINT Ctrl-Alt-Intel, qui a établi des liens entre les opérateurs, l'infrastructure et les entités commerciales utilisant le renseignement open source. Une partie du lien comprenait l'émergence du même courrier électronique dans les dossiers d'entreprises russes liés à des entreprises de gros, de transport et de stockage, suggérant des liens entre l'infrastructure d'hameçonnage et les acteurs de l'économie réelle liés au même secteur cible.
La réponse coordonnée lors de la découverte de l'opération a permis l'intervention et le démantèlement d'une grande partie de l'infrastructure : panneaux, domaines et dépôts hébergés sur des plateformes telles que GitLab ont été neutralisés après la collaboration entre GitLab, Cloudflare, Google Threat Intelligence, CrowdStrike et Microsoft Threat Intelligence Center. Toutefois, la nature distribuée de la fraude et l'utilisation de domaines temporaires et de services de courrier légitimes montrent clairement que le risque ne disparaît pas avec une seule mesure de confinement.
Pour les entreprises et les professionnels du transport, la leçon est double: d'une part, la vulnérabilité principale est humaine et se trouve dans les processus et les utilisateurs qui gèrent le fonctionnement quotidien; d'autre part, la sophistication technique des attaques nécessite des mesures techniques robustes. En pratique, il convient de renforcer les contrôles du courrier avec des politiques anti-phishing avancées, d'exiger des méthodes d'authentification solides (comme les clés matérielles ou les solutions FIDO) plutôt que des SMS, de segmenter et de limiter les privilèges d'accès, de surveiller l'accès inhabituel aux comptes et aux paramètres, et d'avoir des procédures claires pour vérifier les changements dans les instructions de paiement ou les points de livraison. Microsoft propose des lignes directrices pratiques sur la protection contre l'hameçonnage et les bonnes pratiques de sécurité du courrier d'entreprise qui peuvent servir de référence: Microsoft - documentation de protection de phishing.
Si votre entreprise opère dans le secteur des transports ou utilise des plates-formes d'échange de fret, il est recommandé de revoir les indicateurs d'engagement (IoC) et les détails techniques publiés par les chercheurs. I Been Squated dans votre rapport inclut la liste des IoC - réseaux, domaines, Télégramme, emails et adresses cryptomonesda - qui permettent aux équipes de sécurité de rechercher, bloquer les artefacts connus et ajuster les règles dans les passerelles et les pare-feu de courrier: rapport et IoC d'avoir été squatté. La recherche Ctrl-Alt-Intel fournit également un contexte OSINT sur les liens entre les opérateurs et les entreprises du secteur: Analyse OSINT de Ctrl-Alt-Intel.
En bref, Diesel Vortex rappelle que la cybercriminalité évolue vers des opérations de plus en plus intégrées avec des activités criminelles hors du monde numérique. Il ne s'agit pas seulement de voler un mot de passe, mais de commencer une chaîne qui peut se traduire en marchandises manquantes, en millions de fraudes et en perte de confiance dans un secteur critique pour l'économie mondiale. La meilleure défense sera de combiner les contrôles techniques, la formation continue des personnes dans la chaîne logistique et une coopération étroite entre fournisseurs, plateformes et équipes d'intervention en cas d'incident.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...