SOC Prime Bias: Medio

04 Nov 2025 09:03
newspaper icon Proofpoint

Acceso remoto, carga real: Ciberdelincuentes apuntan a camiones y logística

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Acceso remoto, carga real: Ciberdelincuentes apuntan a camiones y logística
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Transformación Digital del Robo de Carga

Grupos de ciberdelincuentes están comprometiendo empresas de transporte y logística entregando herramientas de monitoreo y gestión remota (RMM) para tomar control de sistemas, luego utilizan el acceso para publicar cargas falsas, ofertar por envíos y robar carga física para obtener beneficios financieros.

Investigación

El grupo de amenazas ha estado activo desde al menos junio de 2025 y utiliza productos RMM como ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N‑able y LogMeIn Resolve. Después del acceso inicial a través de cuentas comprometidas de plataformas de carga o correos electrónicos de phishing, los actores realizan reconocimiento de red y despliegan recolectores de credenciales como WebBrowserPassView. Luego explotan los flujos de trabajo de la industria para publicar cargas fraudulentas y coordinar robos. La campaña utiliza instaladores RMM legítimos firmados para evadir la detección y se ha vinculado a actividad previa entregando NetSupport y otros ladrones.

Mitigación

Las organizaciones deben restringir la instalación de software RMM no aprobado, implementar reglas de detección de red para dominios y firmas RMM conocidos, bloquear archivos ejecutables y MSI entregados por correo electrónico desde remitentes externos, aplicar autenticación multi-factor para cuentas de plataformas de carga y de correo electrónico, y proporcionar capacitación a los usuarios para reconocer intentos de phishing.

Respuesta

Si se detecta una intrusión, aísle los puntos finales afectados, revoque las credenciales comprometidas, elimine los agentes RMM no autorizados, realice un análisis forense para identificar la infraestructura de C2, y notifique a las autoridades y proveedores de seguros. Revise y refuerce la seguridad de las cuentas de plataformas de carga y monitoree publicaciones de carga fraudulentas.

mermaid graph TB %% Definiciones de clase classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 %% Nodos action_phishing[«<b>Acción</b> – <b>T1204.004 Ejecución por Usuario: Archivo Malicioso</b><br/>Correo de phishing con adjunto malicioso enviado a víctimas»] class action_phishing action action_execute_payload[«<b>Acción</b> – <b>T1218.007 Ejecución por Proxy de Binario Firmado: Msiexec</b><br/>Ejecutar carga maliciosa .exe o .msi usando utilidades del sistema»] class action_execute_payload action action_install_rat[«<b>Acción</b> – <b>T1219 Herramientas de Acceso Remoto</b><br/>Instalar herramienta de acceso remoto en anfitrión comprometido»] class action_install_rat action malware_rat[«<b>Malware</b> – <b>Nombre</b>: Herramienta de Acceso Remoto<br/><b>Descripción</b>: Permite control remoto persistente»] class malware_rat malware action_c2[«<b>Acción</b> – <b>T1104 Comando y Control</b><br/>Establecer canal C2 para recibir instrucciones»] class action_c2 action action_recon[«<b>Acción</b> – Reconocimiento<br/><b>T1082 Descubrimiento de Información del Sistema</b>, <b>T1592.002 Identificación de Software</b>, <b>T1590.004 Descubrimiento de Topología de Red</b><br/>Recopilar detalles del sistema, software y red»] class action_recon action action_credential_dump[«<b>Acción</b> – <b>T1555.003 Credenciales en Archivos: Navegadores Web</b><br/>Extraer credenciales web almacenadas usando WebBrowserPassView»] class action_credential_dump action tool_webbrowserpassview[«<b>Herramienta</b> – <b>Nombre</b>: WebBrowserPassView<br/><b>Descripción</b>: Recupera contraseñas guardadas de navegadores»] class tool_webbrowserpassview tool action_valid_accounts[«<b>Acción</b> – <b>T1078 Cuentas Válidas</b><br/>Usar credenciales recolectadas para autenticar»] class action_valid_accounts action action_lateral_movement[«<b>Acción</b> – <b>T1021.006 Servicios Remotos: WinRM</b><br/>Moverse lateralmente usando Gestión Remota de Windows»] class action_lateral_movement action %% Conexiones action_phishing u002du002d>|conduce a| action_execute_payload action_execute_payload u002du002d>|ejecuta| action_install_rat action_install_rat u002du002d>|instala| malware_rat malware_rat u002du002d>|comunica con| action_c2 action_c2 u002du002d>|habilita| action_recon action_recon u002du002d>|proporciona datos para| action_credential_dump action_credential_dump u002du002d>|usa| tool_webbrowserpassview action_credential_dump u002du002d>|conduce a| action_valid_accounts action_valid_accounts u002du002d>|habilita| action_lateral_movement

Flujo de Ataque

Instrucciones de Simulación

Ejecución de Simulación

Prerequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.

  • Narrativa de Ataque y Comandos:
    Un adversario ha comprometido la cuenta de correo electrónico de un gerente senior de logística («carla@logistics.com»). Para maximizar el éxito de la entrega, el atacante responde a un hilo existente sobre un envío reciente (“confirmación de carga”) e inserta un enlace malicioso que apunta a un instalador ejecutable para una herramienta de Monitoreo y Gestión Remota (RMM). La línea de asunto contiene deliberadamente la palabra “carga” para cumplir con el filtro de asunto de la regla. Cuando el destinatario hace clic en el enlace, los registros de conexión de red mostrarán una solicitud HTTP saliente a un dominio malicioso que sirve un .exe y .msi de carga.

    1. Redactar correo malicioso (el asunto incluye “carga”, el cuerpo contiene las cadenas “.exe” y “.msi”).
    2. Enviar desde la cuenta comprometida.
    3. Opcionalmente, simule el clic invocando Invoke-WebRequest desde la máquina víctima para generar la telemetría de conexión de red.

  • Script de Prueba de Regresión:

    <# 
Script de simulación para T1219 / T1566.001.
Pasos:
  1. Enviar correo malicioso con las cadenas requeridas.
  2. (Opcional) Simular un clic para generar tráfico de red.
#>

# ==== 1. Enviar correo malicioso ====
$smtpServer = "smtp.mycompany.com"
$from       = "carla@logistics.com"
$to         = "dave@logistics.com"
$subject    = "Confirmación de Carga – Acción Requerida"
$body       = @"
Hola Dave,

Por favor revisa los detalles de carga actualizados y descarga la última herramienta de procesamiento:

Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Únase Gratis