Penjahat dunia maya membantu kelompok kejahatan terorganisir tradisional mencuri barang fisik melalui pembajakan angkutan kargo.
Para peneliti di perusahaan keamanan siber Proofpoint baru-baru ini mengidentifikasi kampanye jahat aktif yang melibatkan peretas yang menargetkan industri transportasi, khususnya perusahaan angkutan truk dan logistik, di Amerika Utara.
Teknik infeksi yang mereka pilih termasuk memanfaatkan alat manajemen pemantauan jarak jauh (RMM) dan perangkat lunak akses jarak jauh (RAS) untuk mendapatkan akses ke sistem korbannya.
Rantai Serangan: Rekayasa Sosial, RMM, dan Pengambilan Kredensial
Dalam laporan tanggal 3 November, Proofpoint mengungkapkan bahwa kelompok ancaman yang terlibat dalam dugaan pencurian kargo telah aktif setidaknya sejak Juni 2025, dengan bukti lebih lanjut menunjukkan bahwa kampanye kelompok tersebut dimulai pada awal Januari 2025.
Rantai serangan yang umum dimulai dengan tiga trik rekayasa sosial untuk masuk ke sistem target yang terinfeksi. Ini termasuk:
- Mengkompromikan papan muatan: penyerang memposting daftar barang palsu menggunakan akun yang disusupi di papan muatan dan kemudian mengirim email yang berisi URL jahat ke operator yang menanyakan tentang muatan tersebut
- Pembajakan thread email: menggunakan akun email yang disusupi, pelaku ancaman menyuntikkan konten dan URL berbahaya ke dalam percakapan yang ada
- Penargetan langsung melalui kampanye email: penyerang meluncurkan kampanye email langsung terhadap entitas yang lebih besar, termasuk operator berbasis aset, perusahaan pialang pengangkutan, dan penyedia rantai pasokan terintegrasi. Mendapatkan akses ke entitas-entitas ini memungkinkan para pelaku untuk mengidentifikasi muatan barang bernilai tinggi atau mengungkap peluang lain untuk mencapai tujuan mereka, seperti memasang muatan palsu di papan muatan.
Email berbahaya berisi URL yang mengarah ke file yang dapat dieksekusi (.exe) atau MSI (.msi), yang, ketika diklik, akan menginstal alat RMM, sehingga memberikan pelaku ancaman kendali penuh atas mesin yang disusupi.
“Dalam beberapa kasus, pelaku ancaman akan membuat domain dan halaman arahan yang meniru merek sah atau istilah transportasi umum untuk meningkatkan kepercayaan terhadap rekayasa sosial,” kata peneliti Proofpoint.
Alat RMM dan RAS yang diterapkan pada sistem yang ditargetkan mencakup ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able, dan LogMeIn Resolve – terkadang digunakan secara bersamaan.
Setelah akses awal dibuat, penyerang melakukan pengintaian sistem dan jaringan dan menyebarkan alat pengumpulan kredensial, seperti WebBrowserPassView.
“Kegiatan ini menunjukkan upaya yang lebih luas untuk menyusupi akun dan memperdalam akses dalam lingkungan yang ditargetkan,” tulis para peneliti.
Tumpang tindih dengan Kampanye Sebelumnya
Para peneliti mengidentifikasi infrastruktur jaringan terkait dan taktik, teknik, dan prosedur (TTP) serupa dalam kampanye penyampaian NetSupport dan ScreenConnect sejak Januari 2025, “menunjukkan lini waktu operasional yang lebih lama,” demikian bunyi laporan Proofpoint.
Kampanye-kampanye ini juga menunjukkan beberapa tumpang tindih dengan aktivitas jahat yang tercatat antara tahun 2024 dan Maret 2025, ketika pelaku ancaman menyebarkan sejumlah pencuri informasi, termasuk DanaBot, NetSupport, Lumma Stealer, dan StealC ke dalam sistem organisasi transportasi darat.
Namun, para peneliti Proofpoint tidak dapat memastikan dengan pasti apakah kelompok aktivitas ini terkait.
“Semua tampaknya memiliki pengetahuan tentang perangkat lunak, layanan, dan kebijakan seputar cara kerja rantai pasokan kargo,” tulis para peneliti.
Laporan tersebut juga menggarisbawahi bahwa, jika kelompok aktivitas ini berasal dari kelompok yang sama, penggunaan alat RMM dan bukan pencuri informasi dalam kampanye terbaru dapat menunjukkan adanya kecanggihan dalam teknik yang digunakan.
“Pencuri dan RMM memiliki tujuan yang sama: mengakses target dari jarak jauh untuk mencuri informasi. Namun, menggunakan alat RMM dapat memungkinkan pelaku ancaman untuk terbang lebih jauh di bawah radar. Pelaku ancaman dapat membuat dan mendistribusikan alat pemantauan jarak jauh milik penyerang dan karena alat tersebut sering digunakan sebagai perangkat lunak yang sah, pengguna akhir mungkin tidak terlalu curiga dalam memasang RMM dibandingkan trojan akses jarak jauh lainnya,” tulis para peneliti Proofpoint.
“Selain itu, alat tersebut dapat menghindari deteksi anti-virus atau jaringan karena penginstalnya sering kali menandatangani, muatan sah, dan didistribusikan secara jahat.”
Pencurian Kargo Melalui Cyber, Masalah Global
Proofpoint telah mengamati hampir dua lusin kampanye yang menargetkan perusahaan angkutan barang Amerika Utara pada bulan September dan Oktober 2025, dengan volume berkisar antara kurang dari 10 hingga lebih dari 1000 pesan per kampanye.
Para peneliti juga menilai “dengan keyakinan tinggi” bahwa kelompok ancaman ini berkolaborasi dengan kelompok kejahatan terorganisir, yang kemungkinan besar menggunakan akses mereka untuk menawar pengiriman kargo dan kemudian mencuri dan menjualnya.
Dalam laporan tersebut, Proofpoint juga mencatat bahwa meskipun kampanye terbaru menargetkan perusahaan-perusahaan Amerika Utara, pencurian kargo melalui dunia maya meningkat di seluruh dunia, termasuk di titik-titik rawan pengiriman barang seperti Brasil, Chile, Jerman, India, Meksiko, Afrika Selatan, dan Amerika Serikat.
Menurut Biro Kejahatan Asuransi Nasional, pencurian kargo menyebabkan kerugian sebesar $34 miliar setiap tahunnya. Teknik intrusi dunia maya berkontribusi signifikan terhadap kerugian ini, menurut laporan IMC Logistics dan The American Trucking Associations pada bulan Juli 2025.
Peretas Membantu Kelompok Kejahatan Terorganisir dalam Perampokan Pengangkutan Kargo
