Onderzoekers
van cybersecuritybedrijf Proofpoint voerden eind
februari 2026 een kwaadaardige payload van een
dreigingsactor uit binnen een gecontroleerde lokomgeving. Deze werd
beheerd door Deception.pro, een partner van het
cybersecuritybedrijf. De payload had het gemunt op
transportbedrijven. Hoewel de omgeving geen vervoersbedrijf
vertegenwoordigde, bleef deze meer dan een maand lang gecompromitteerd.
Dit bood zeldzaam, uitgebreid inzicht in de activiteiten, tools en
besluitvorming na de compromittering.?
Proofpoint
documenteerde eerder de campagnes van deze dreigingsactor tegen
transport en logistieke bedrijven. Deze hadden als doel om
ladingdiefstal en vrachtfraude te vergemakkelijken. In dit geval bracht
de langdurige interactie aan het licht dat er sprake was van
persistentie via meerdere remote management tools (RMM). Ook gebruikte
deze actor een voorheen onbekende Signing-as-a-Service mogelijkheid.
Deze is ontworpen om detectie te omzeilen en securitywaarschuwingen te
onderdrukken. Daarnaast onthulde deze interactie een uitgebreide
verkenning na de inbreuk.??
Het
verkenningsonderzoek richtte zich op het in kaart brengen van
financiële toegangsmogelijkheden zoals bank-, boekhoud- en
belastingsoftware, en geldtransferdiensten. De andere focusgroepen voor
dit onderzoek waren transportgerelateerde entiteiten, waaronder
tankkaartdiensten, betalingsplatforms voor wagenparken en exploitanten
van vrachtbeurzen. Deze laatste activiteit was waarschijnlijk bedoeld
ter ondersteuning van misdrijven in de transportsector, waaronder
ladingdiefstal en de daarmee samenhangende financiële fraude.
Toegang behouden na de inbraak
Deze langdurige inbraak
laat zien hoe financieel gemotiveerde cybercriminelen die
transportbedrijven aanvallen, veel verder gaan dan het verkrijgen van
de eerste toegang. Zij richten zich vooral op het behouden van toegang,
verkenning en het verzamelen van inloggegevens. Zo vinden zij
mogelijkheden voor financieel misbruik op transport- en aanverwante
financiële platforms. Delen van deze activiteit komen ook met
voorbereidend gedrag overeen, dat werd waargenomen bij operaties voor
vrachtdiefstal en het omleiden van lading.?
Met name het gebruik
van
een Signing-as-a-Service functie onderstreept de
groeiende trend dat aanvallers legitieme vertrouwensmechanismen
gebruiken om detectie te omzeilen. Voor transport-, logistieke en
vrachtbedrijven benadrukken deze bevindingen het belang van het
monitoren op ongeautoriseerde RMM-tools,
verdachte PowerShell-activiteit en afwijkende browsergegevens in
verband met toegang tot financiële platforms.?
Klik
hier om het volledige Engelstalige onderzoek te
lezen.