Campaña de phishing ataca empresas de logística en Estados Unidos y también Europa
El grupo cibercriminal llamado “Diesel Vortex”, con fines lucrativos, ha robado credenciales a operadores logísticos en los Estados Unidos y Europa por medio de ataques de phishing usando más de 50 dominios. En una campaña activa desde el mes de septiembre del 2025, el grupo ha robado más de 1600 credenciales únicas de plataformas y proveedores críticos para la industria del transporte.
Ante esto, investigadores de la plataforma de monitoreo llamada Have I Been Squatted, han detectado la campaña luego de hallar un repositorio expuesto. Este contenía una base de datos SQL de un proyecto de phishing llamado “Global Profit”, comercializado entre actores maliciosos.
Este repositorio incluía registros de webhooks de Telegram que revelaron diálogos entre los operadores del servicio. Por el lenguaje utilizado, los analistas asumen que el grupo Diesel Vortex es un actor de habla armenia, el cual está vinculado a la infraestructura rusa.
A los esfuerzos de las plataformas de monitoreo, se les ha unido el llamado “Ctrl-Alt-Intel”, un proveedor de infraestructura de tokenización. Mediante inteligencia de fuentes abiertas, conectaron los puntos entre operadores, infraestructura y diversas compañías. En un extenso informe técnico, el proveedor de protección contra typosquatting afirma haber descubierto casi 3500 pares de credenciales sustraídas, siendo más de 1600 de ellas únicas.
Igualmente, los expertos hallaron también un mapa mental creado por un miembro del grupo. Este describe una operación altamente organizada, con centros de llamadas, soporte técnico, programadores y personal para captar conductores, transportistas y contactos logísticos.
Del mismo modo, el mapa mostraba con amplios detalles canales de adquisición como el mercado DAT One, campañas de correo electrónico, fraude de confirmación de tarifas y los ingresos por niveles operativos.
Diesel Vortex construyó infraestructura de phishing dedicada para plataformas de uso diario por transportistas, organizaciones de camiones y operadores logísticos. Además, bolsas de carga, portales de gestión, sistemas de tarjetas de combustible e intercambios de carga estaban en el objetivo, según los especialistas.
TIC Defense se encarga de aumentar las defensas cibernéticas de tu organización, por medio de tecnología de punta que se enfoca en la prevención y en la respuesta rápida a todo tipo de incidentes. De esta manera, la información digital de tu organización va a estar resguardada.
Estas plataformas concentran altos volúmenes de transacciones, no obstante, su fuerza laboral no suele ser el foco principal de los programas de seguridad corporativa y los hackers maliciosos lo sabían perfectamente.
Los ataques utilizan correos electrónicos enviados vía kits de phishing usando Zoho SMTP y Zeptomail, combinando trucos de homoglifos cirílicos en remitente y asunto para evadir filtros. De igual forma, recurrieron al vishing e infiltración en canales de Telegram frecuentados por el personal del sector.
Al hacer clic en el enlace fraudulento, la víctima llega a un sitio web con un iframe que carga el contenido malicioso, seguido de un camuflaje de nueve etapas. Estas páginas web son clones exactos de las plataformas logísticas, según el objetivo, capturan credenciales, datos de permisos, números MC/DOT, accesos a RMIS, PIN, códigos 2FA, tokens, montos de pago, números de cheques y nombres.
El proceso está bajo control directo del operador, quien aprueba pasos y activa fases vía bots de Telegram. Las acciones incluyen solicitar contraseñas de Google, Office 365 y Yahoo, métodos 2FA, redireccionamientos o bloqueos de sesión.
