Grupos hackers estão intensificando ataques contra empresas de transporte e logística, explorando softwares de monitoramento e gerenciamento remoto (RMM) para invadir sistemas corporativos e, em última instância, roubar cargas físicas.
De acordo com pesquisadores da Proofpoint, o grupo criminoso — ativo desde pelo menos junho de 2025 — age em parceria com organizações do crime organizado, visando empresas de transporte terrestre. Os itens mais visados são alimentos e bebidas, produtos de alta demanda e revenda fácil.
“Os itens roubados provavelmente são vendidos online ou enviados para o exterior”, explicam os pesquisadores Ole Villadsen e Selena Larson.
Segundo eles, os invasores obtêm acesso aos sistemas das transportadoras e usam credenciais fraudulentas para participar de licitações legítimas, com o objetivo de desviar as mercadorias.
Ataques evoluem e exploram confiança do setor
Essas ações apresentam semelhanças com ataques registrados em setembro de 2024, quando hackers usaram infostealers e trojans de acesso remoto (RATs) — como Lumma Stealer, StealC e NetSupport RAT — para atingir empresas na América do Norte.
No entanto, até o momento não há evidências de que se trate dos mesmos grupos.
Na nova onda de ataques, os criminosos recorrem a táticas como:
-
Sequestro de conversas legítimas de e-mail;
-
Envio de mensagens de spear-phishing para transportadoras e corretores;
-
Publicação de anúncios falsos de frete em plataformas do setor usando contas comprometidas.
Segundo a Proofpoint, “o invasor publica listagens falsas de transporte e envia e-mails com links maliciosos para empresas interessadas, explorando a confiança e o senso de urgência típicos dessas negociações”.
Softwares legítimos, ataques sofisticados
Os links maliciosos direcionam as vítimas para instaladores adulterados que implementam ferramentas legítimas de RMM, como ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able e LogMeIn Resolve.
Em alguns casos, os hackers instalam vários desses programas em conjunto — por exemplo, o PDQ Connect instala automaticamente o ScreenConnect e o SimpleHelp.
Uma vez dentro do sistema, os criminosos realizam reconhecimento da rede, instalam ferramentas de roubo de credenciais — como o WebBrowserPassView — e se movem lateralmente pelos ambientes internos.
Em incidentes já documentados, chegaram a excluir reservas de transporte, bloquear notificações de despachantes e até cadastrar seus próprios dispositivos para controlar operações e coordenar o transporte das cargas roubadas.
Campanhas em expansão
Desde agosto de 2025, ao menos duas dezenas de campanhas semelhantes foram detectadas, afetando desde pequenas transportadoras familiares até grandes empresas logísticas.
Os ataques são considerados oportunistas e exploram dados internos obtidos em vazamentos anteriores para identificar cargas mais lucrativas.
Segundo a Proofpoint, o uso de softwares legítimos de monitoramento oferece vantagens significativas aos hackers:
essas ferramentas são comuns em ambientes corporativos e, por isso, dificilmente levantam suspeitas ou são bloqueadas por antivírus.
“É relativamente fácil para os hackers distribuírem versões adulteradas desses programas.
Como eles são amplamente usados de forma legítima, as vítimas tendem a desconfiar menos da instalação”, destacou a Proofpoint em relatório.
