La industria del transporte de mercancías, un engranaje esencial de la economía global, se ha convertido en uno de los objetivos más rentables para el cibercrimen organizado. Una campaña activa desde septiembre de 2025 ha comprometido al menos 1.649 credenciales únicas pertenecientes a operadores logísticos en Estados Unidos y Europa, según una investigación publicada por Have I Been Squatted.
Detrás de la operación se encuentra un grupo financieramente motivado al que los investigadores han bautizado como “Diesel Vortex”. Durante meses desplegaron una infraestructura compuesta por 52 dominios maliciosos diseñados para suplantar plataformas críticas del ecosistema logístico. El resultado fue el acceso a cuentas utilizadas a diario por brokers, transportistas y operadores de la cadena de suministro, en un sector donde cada transacción puede implicar miles de euros en juego.
Entre las plataformas afectadas figuran actores clave como DAT Truckstop, TIMOCOM y Teleroute, además de compañías como Penske Logistics, Girteka y el proveedor financiero Electronic Funds Source. No se trata de empresas marginales, sino de nodos críticos donde convergen carga, financiación y coordinación operativa.
Una infraestructura criminal con control en tiempo real
La campaña salió a la luz tras el descubrimiento de un repositorio expuesto que contenía una base de datos SQL vinculada a un proyecto de phishing denominado “Global Profit”, comercializado en foros clandestinos como “MC Profit Always”. En ese repositorio no solo había credenciales robadas, sino también registros de webhooks de Telegram que permitieron reconstruir la coordinación interna del grupo. El análisis lingüístico apunta a actores de habla armenia con conexiones técnicas a infraestructura rusa.
La investigación fue ampliada por Ctrl-Alt-Intel, que utilizó técnicas de inteligencia de fuentes abiertas para vincular dominios y direcciones de correo con registros corporativos rusos relacionados con transporte y almacenamiento. Aunque no existe una atribución estatal formal, la superposición entre infraestructura criminal y empresas del mismo vertical añade un elemento geopolítico al caso.
Desde el punto de vista técnico, la operación combinaba automatización con supervisión humana. El vector inicial era el correo electrónico, distribuido a través de servicios legítimos como Zoho SMTP y Zeptomail, empleando homoglifos cirílicos para evadir filtros de seguridad. A ello se sumaron llamadas de voz fraudulentas y la infiltración de canales de Telegram frecuentados por profesionales del transporte.
Cuando la víctima hacía clic en el enlace malicioso, era redirigida a una página intermedia aparentemente inofensiva que cargaba un iframe a pantalla completa. A continuación se activaba un sistema de cloaking en múltiples etapas alojado en dominios alternativos como .top o .icu, diseñado para eludir sistemas automatizados de análisis.
El usuario terminaba frente a una réplica prácticamente idéntica de la plataforma original. Las páginas estaban diseñadas para capturar credenciales, números MC/DOT, accesos a sistemas de verificación, códigos PIN, tokens de autenticación multifactor e incluso datos financieros como importes de pago y números de cheque.
Un elemento especialmente sofisticado era el control manual del proceso. A través de bots en Telegram, los operadores decidían en tiempo real cuándo solicitar información adicional, cuándo activar un segundo factor o cuándo interrumpir la sesión. No era un phishing masivo automatizado, sino una operación interactiva con supervisión constante.
Del robo de credenciales al desvío físico de carga
Las credenciales robadas no constituían el objetivo final. Según los investigadores, Diesel Vortex habría coordinado actividades de suplantación de transportistas y prácticas de double brokering, una modalidad de fraude que consiste en reservar cargas legítimas utilizando identidades robadas y desviarlas posteriormente hacia puntos de recogida fraudulentos. En la práctica, una intrusión digital puede traducirse en la desaparición física de mercancía de alto valor.
La infraestructura fue finalmente desmantelada tras una acción coordinada que involucró a GitLab, Cloudflare, Google Threat Intelligence, CrowdStrike y el Microsoft Threat Intelligence Center. El informe técnico incluye indicadores de compromiso que abarcan dominios, infraestructura de red, identificadores de Telegram y direcciones de criptomonedas asociadas al grupo.
