פושעי סייבר מכוונים יותר ויותר מתקפות כלפי חברות הובלה ולוגיסטיקה, במטרה להדביק אותן בתוכנות ניטור וניהול מרחוק (RMM) ובסופו של דבר – לגנוב מטענים למטרות רווח כספי. אשכול איומי הסייבר, שנחשב על פי Proofpoint פעיל לפחות מאז יוני 2025, משתף פעולה עם קבוצות פשע מאורגן כדי לפרוץ לחברות בתעשיית התחבורה במטרה הסופית לבזוז סחורות – בעיקר מוצרי מזון ומשקאות: "המטען הגנוב נמכר ככל הנראה באינטרנט או נשלח לחו"ל", טענו חוקרות הסייבר אולה וילדסן וסלינה לרסון בדו"ח ששותף עם The Hacker News והוסיפו: "במתקפות הסייבר שנצפו, שואפים פושעי הסייבר לחדור לחברות ולהשתמש בגישה מרחוק כדי להציע הצעות מחיר על משלוחי סחורות אמיתיים, בסופו של דבר כדי לגנוב אותן."
מתקפות סייבר אלו חולקות קווי דמיון עם סדרה קודמת של מתקפות שנחשפו בספטמבר 2024 – מתקפות אשר כללו התמקדות בחברות תחבורה ולוגיסטיקה בצפון אמריקה באמצעות נוזקות גניבת מידע וסוסי טרויאנים לגישה מרחוק (RATs) כגון Lumma Stealer, StealC או NetSupport RAT. עם זאת, אין ראיות המצביעות על כך שהן מעשה ידיו של אותו גורם איום. בגל החדירה הנוכחי שזיהו Proofpoint ניצלו פושעי הסייבר מספר שיטות, כולל חשבונות דוא"ל שנפגעו כדי לחטוף התקשרויות קיימות, תוך התמקדות בחברות המספקות סחורות, חברות תיווך הובלה וספקי שרשרת אספקה - באמצעות דוא"ל דיוג ושליחת רשימות הובלה מזויפות דרך חשבונות פרוצים: "פושעי הסייבר שולחים רשימות הובלה מזויפת באמצעות חשבונות שנפגעו ולאחר מכן שולחים דוא"ל המכיל כתובות URL זדוניות לחברות המספקות מידע על המטענים", נכתב בדוח וכמו כן הודגש: "טקטיקה זו מנצלת את האמון והדחיפות הטבועים במשא ומתן על הובלה."
כתובות ה- URL הזדוניות המוטמעות בהודעות, מובילות למתקיני MSI או קבצי הרצה זדוניים הפורסים כלי RMM לגיטימיים כמו ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able ו- LogMeIn Resolve. במקרים מסוימים עושים פושעי הסייבר שימוש במספר תוכנות, כאשר PDQ Connect משמש להורדה והתקנה של ScreenConnect ו- SimpleHelp. לאחר שהשיגו גישה מרחוק, עוברים פושעי הסייבר לביצוע סיור מערכתי ורשתי ולאחר מכן מטמיעים כלי איסוף אישורים כגון WebBrowserPassView כדי ללכוד אישורים נוספים ולחפור עמוק יותר ברשת המחשוב של הקורבן. במקרה אחד מחקו פושעי הסייבר הזמנות קיימות וחסמו התראות של המוקדן. לאחר מכן הוסיפו את מספר הטלפון שלהם לשלוחת הטלפון של המוקדן, הזמינו מטענים תחת שם הספק שנפרץ ותיאמו לעצמם את ההובלה.
מאז אוגוסט 2025 זוהו מעל לעשרים מתקפות סייבר אשר כוונו לגופי תחבורה במטרה להטמיע בהם כלי RMM. המתקפות כוונו לעסקים קטנים ומשפחתיים ועד לחברות תחבורה גדולות, כדי לחדור לרשתות המחשוב שלהם ולמנף מידע פנימי מפריצות אחרות במטרה לזהות ולהציע הצעות מחיר על מטענים העשויים להיות רווחיים אם ייגנבו. השימוש בתוכנת RMM מציע מספר יתרונות: ראשית, הוא מבטל את הצורך של פושעי הסייבר לבנות נוזקות בהתאמה אישית. שנית, תוכנות אלו גם מאפשרות להם לטוס מתחת לרדאר, בשל שכיחותם של כלים אלו בסביבות ארגוניות והעובדה שהם בדרך כלל אינם מסומנים כזדוניים על ידי פתרונות אבטחה.
