Добре координирана руска фишинг група, идентифицирана под името Diesel Vortex, е компрометирала дигиталната инфраструктура на водещи логистични и транспортни компании в САЩ и Европейския съюз, като е използвала откраднати акаунти на шофьори, спедитори и мениджъри на товари. Разследването разкрива зряла киберпрестъпна екосистема, изграждана и развивана в продължение на месеци.

Според анализ на Have I Been Squatted, осъществен съвместно с инициативата Ctrl-Alt-Intel, кампанията е активна поне пет месеца и е довела до компрометиране на над 1600 уникални акаунта в ключови логистични платформи.

Как е проведена атаката

Операторите на Diesel Vortex са насочили усилията си към често използвани логистични системи:

• товарни борси

• платформи за управление на автопаркове

• системи за  карти за отстъпки на гориво

• борси за международен превоз

Сред засегнатите или целенасочено имитирани услуги са платформи и компании като DAT Truckstop, Teleroute, Girteka, Penske Logistics, Electronic Funds Source и Timocom.

Основните техники включват:

• spear phishing имейли, имитиращи легитимни логистични услуги

• voice phishing (vishing) атаки

• злоупотреба с Telegram групи, използвани от превозвачи и диспечери

• прихващане на MFA кодове в реално време

След получаване на достъп, нападателите:

• пренасочват фактури и плащания

• извършват double brokering измами

• източват чувствителни данни за пратки и клиенти

• крадат средства директно от финансови системи

Мащабът на операцията в цифри

В периода септември 2025 – февруари 2026 са регистрирани:

• 52 активни фишинг домейна

• над 57 000 таргетирани имейл адреса

• 3 474 откраднати двойки потребителско име и парола

• 1 649 уникални компрометирани акаунта

• 9 016 уникални IP адреса на жертви

• 35 опита за измами с горивни карти

Изследователите подчертават, че това вероятно не е първата кампания на групата, а само най-добре документираната до момента.

Фишинг платформа „като услуга“

Разследването започва след откриване на typosquatted домейни, насочени към клиент на Have I Been Squatted. Един от тях съдържа погрешно конфигурирана .git директория, която позволява пълно възстановяване на кода чрез инструмента git-dumper.

Вътре изследователите откриват:

• активно развивана phishing-as-a-service платформа

• вътрешно име: GlobalProfit

• търговско наименование: MC Profit Always

• руска документация за внедряване

• тестови абонаментни акаунти и платежна инфраструктура

Наименованието „MC“ вероятно се отнася до Motor Carrier номерата, издавани от Federal Motor Carrier Safety Administration.

Вътрешна структура като в корпорация

Сред най-разкриващите находки е 3.5MB файл с Telegram callback данни, както и публично достъпна XMind ментална карта, която очертава:

• ясно дефинирани роли – програмисти, колцентър, имейл екип

• отдели за набиране на шофьори и превозвачи

• финансово планиране и цели по нива

• списък с десетки активни Telegram групи за атака

Това потвърждава, че Diesel Vortex функционира като професионална престъпна организация, а не като хаотична група.

Инфраструктурата е неутрализирана

След разкриването на операцията е задействан координиран отговор, включващ:

• Google Threat Intelligence

• Cloudflare

• GitLab

• IPInfo

• Ping Identity

• Microsoft Threat Intelligence Center

• CrowdStrike

Инфраструктурата на групата е демонтирана, а засегнатите организации са уведомили потенциалните жертви.

Случаят Diesel Vortex е ясен сигнал, че логистичният сектор остава подценявана, но изключително доходоносна цел за организираната киберпрестъпност. Комбинацията от социално инженерство, технологична зрялост и достъп до финансови процеси превръща товарните платформи в критична зона за киберсигурност.