Een kijkje in het draaiboek van een vrachtdief na de inbraak

Onderzoekers van cybersecuritybedrijf Proofpoint voerden eind februari 2026 een kwaadaardige payload van een dreigingsactor uit binnen een gecontroleerde lokomgeving. Deze werd beheerd door Deception.pro, een partner van het cybersecuritybedrijf. De payload had het gemunt op transportbedrijven. Hoewel de omgeving geen vervoersbedrijf vertegenwoordigde, bleef deze meer dan een maand lang gecompromitteerd. Dit bood zeldzaam, uitgebreid inzicht in de activiteiten, tools en besluitvorming na de compromittering.

Proofpoint documenteerde eerder de campagnes van deze dreigingsactor tegen transport en logistieke bedrijven. Deze hadden als doel om ladingdiefstal en vrachtfraude te vergemakkelijken. In dit geval bracht de langdurige interactie aan het licht dat er sprake was van persistentie via meerdere remote management tools (RMM). Ook gebruikte deze actor een voorheen onbekende Signing-as-a-Service mogelijkheid. Deze is ontworpen om detectie te omzeilen en securitywaarschuwingen te onderdrukken. Daarnaast onthulde deze interactie een uitgebreide verkenning na de inbreuk.

Het verkenningsonderzoek richtte zich op het in kaart brengen van financiële toegangsmogelijkheden zoals bank-, boekhoud- en belastingsoftware, en geldtransferdiensten. De andere focusgroepen voor dit onderzoek waren transportgerelateerde entiteiten, waaronder tankkaartdiensten, betalingsplatforms voor wagenparken en exploitanten van vrachtbeurzen. Deze laatste activiteit was waarschijnlijk bedoeld ter ondersteuning van misdrijven in de transportsector, waaronder ladingdiefstal en de daarmee samenhangende financiële fraude.

Toegang behouden na de inbraak

Deze langdurige inbraak laat zien hoe financieel gemotiveerde cybercriminelen die transportbedrijven aanvallen, veel verder gaan dan het verkrijgen van de eerste toegang. Zij richten zich vooral op het behouden van toegang, verkenning en het verzamelen van inloggegevens. Zo vinden zij mogelijkheden voor financieel misbruik op transport- en aanverwante financiële platforms. Delen van deze activiteit komen ook met voorbereidend gedrag overeen, dat werd waargenomen bij operaties voor vrachtdiefstal en het omleiden van lading.

Met name het gebruik van een Signing-as-a-Service functie onderstreept de groeiende trend dat aanvallers legitieme vertrouwensmechanismen gebruiken om detectie te omzeilen. Voor transport-, logistieke en vrachtbedrijven benadrukken deze bevindingen het belang van het monitoren op ongeautoriseerde RMM-tools, verdachte PowerShell-activiteit en afwijkende browsergegevens in verband met toegang tot financiële platforms.

Klik hier om het volledige Engelstalige onderzoek te lezen.