Proofpoint a suivi pendant plus d’un mois un attaquant spécialisé dans le détournement de fret. Une observation rare qui montre comment une intrusion informatique peut servir directement à organiser des fraudes logistiques et des vols de cargaison.
Une visibilité rare sur l’après-intrusion
Les chercheurs de Proofpoint ont observé, en conditions contrôlées, les activités d’un acteur spécialisé dans le vol de marchandises après une compromission. L’opération débute fin février 2026, avec l’exécution d’un code malveillant dans un environnement leurre opéré avec Deception.pro.
L’infrastructure ne correspond pas à une entreprise de transport réelle. Pourtant, l’attaquant s’y installe durablement. Il y maintient un accès actif pendant plus d’un mois, offrant une profondeur d’analyse rarement accessible. Les chercheurs évoquent « une visibilité étendue et rare sur les opérations post-compromission, les outils et la prise de décision ».
Cet acteur n’est pas inconnu. Il avait déjà été identifié pour des campagnes visant des entreprises de transport, avec des objectifs de fraude au fret et de détournement de cargaison. Cette fois, l’observation ne porte plus sur l’accès initial, mais sur ce qui suit.
S’implanter et contourner les contrôles
L’accès initial repose sur une mécanique simple. Après avoir compromis une plateforme de mise en relation dans le transport, l’attaquant envoie un email lié à une fausse offre de fret. Le fichier joint déclenche l’installation d’un accès distant via ScreenConnect.
Une fois présent, l’attaquant ne prend aucun risque. Il multiplie les points d’entrée. Plusieurs outils de gestion à distance sont déployés en parallèle. Cette redondance vise à garantir la persistance, même en cas de détection partielle.
« L’attaquant a abusé de multiples outils d’accès distant pour établir sa persistance », notent les chercheurs. Un élément attire particulièrement l’attention. L’utilisation d’un service tiers capable de re-signer des composants malveillants avec des certificats valides. Cette technique permet de contourner les mécanismes de confiance des systèmes et de supprimer les alertes de sécurité.
En reconditionnant ses propres outils avec des signatures considérées comme fiables, l’attaquant s’installe dans la durée sans éveiller les soupçons.
Identifier les bons accès pour préparer la fraude
Une fois l’accès stabilisé, l’activité change de nature. L’attaquant intervient directement sur la machine, navigue, teste, collecte. Il accède notamment à des services de paiement et déploie des outils pour identifier des portefeuilles de cryptomonnaies.
Mais le cœur de l’opération repose sur la reconnaissance. Plusieurs scripts sont exécutés pour analyser en profondeur l’environnement : comptes utilisateurs, profils navigateurs, historiques de navigation. L’objectif est précis. Déterminer si la machine compromise donne accès à des ressources financières ou opérationnelles exploitables.
« Une reconnaissance étendue a été menée pour identifier les accès financiers, les plateformes de paiement et les actifs en cryptomonnaies », détaillent les chercheurs. Les recherches ciblent aussi des outils directement liés au transport : cartes carburant, plateformes de paiement de flotte, systèmes de gestion de fret.
Ce ciblage n’est pas anodin. Il s’inscrit dans une logique opérationnelle. « La reconnaissance visant spécifiquement ces services était probablement destinée à faciliter des crimes liés au transport, notamment le vol de marchandises. »
Du système d’information au détournement de cargaison
Ce que montre cette observation, c’est une progression méthodique. L’intrusion n’est qu’un point de départ. L’attaquant s’installe, cartographie, sélectionne ses cibles.
En identifiant les accès aux bons outils, il peut intervenir dans les opérations logistiques : modifier une livraison, détourner un chargement, manipuler des flux financiers. La compromission du système d’information devient alors un levier direct pour organiser des fraudes au fret et des vols de cargaison.
Ce travail met en lumière une évolution des attaques. Les mécanismes techniques restent classiques. Ce qui change, c’est leur finalité : s’insérer dans les chaînes métier pour en exploiter les points critiques.
