Cyberkriminelle verknüpfen digitale Einbrüche mit physischen Diebstählen: Laut neuen Erkenntnissen von Proofpoint zielen Kampagnen auf Transport- und Logistikunternehmen ab, kapern operative Systeme und leiten reale Güter an Komplizen um. Branchenschätzungen beziffern die jährlichen Verluste durch Cargo-Diebstahl auf über 30 Milliarden US-Dollar – mit spürbaren Risiken für die Resilienz globaler Lieferketten.
Angriffsvektor: kompromittierte Load Boards und Social Engineering
Die Erstkompromittierung erfolgt über Load Boards, auf denen Frachtaufträge vermittelt werden. Nach Übernahme legitimer Konten platzieren Täter täuschend echte Inserate und kontaktieren Spediteure. In den Antworten verstecken sie manipulierte Links hinter vermeintlich seriösen Ressourcen und Anhängen, um den nächsten Schritt der Kompromittierung einzuleiten.
Legitime RMM-Tools als Tarnkappe für persistente Zugriffe
Die Links führen zur stillen Installation legitimer Remote-Management-Software wie Fleetdeck, LogMeIn Resolve, N-able, PDQ Connect, ScreenConnect und SimpleHelp. Die missbräuchliche Nutzung von Remote Monitoring & Management (RMM) tarnt den Zugriff als IT-Support, erhöht die Verweilzeit der Angreifer und erschwert die Detektion im Vergleich zu klassischer Malware. Ähnliche Taktiken wurden auch in Warnungen von Behörden wie CISA und in Branchenanalysen wiederholt dokumentiert.
Taktiken im Überblick: Phishing, Thread Hijacking und Opportunismus
Die Kampagnen sind opportunistisch: Jeder Spediteur, der auf den gefälschten Auftrag reagiert, wird zum Ziel. Neben Massenmailings kommt Thread Hijacking zum Einsatz, also das Einschleusen bösartiger Links in bereits laufende Geschäftskorrespondenzen über kompromittierte Postfächer. In den vergangenen Monaten wurden nahezu zwei Dutzend solcher Operationen beobachtet.
Seitliche Bewegung und Credential‑Diebstahl
Nach der Erstinfektion erkunden die Täter die Umgebung, sammeln Zugangsdaten – unter anderem mit Tools wie WebBrowserPassView – und kompromittieren zusätzliche Konten. Das Ziel ist die Ausweitung der Berechtigungen bis zu Planungs- und Dispositionssystemen, wo kleine Änderungen große operative Wirkung entfalten.
Vom IT-Incident zum physischen Verlust: reale Güterumleitungen
Sobald Angreifer Kontrolle über kritische Logistiksysteme haben, buchen sie Transporte im Namen der Opfer, verändern Routen oder Zieladressen und dirigieren hochwertige Sendungen zu Komplizen. Die Beute wird anschließend online veräußert oder exportiert. Branchenquellen wie CargoNet und TAPA EMEA berichten seit 2023 von deutlichen Anstiegen bei Vorfällen rund um Elektronik, Lebensmittel und Konsumgüter – Muster, die zur hier beschriebenen Vorgehensweise passen.
Geografie und Täterprofile: global und organisiert
Proofpoint verortet Schwerpunkte der Angriffe in Brasilien, Chile, Deutschland, Indien, Mexiko, Südafrika und den USA. Die Kampagnen werden mit hoher Wahrscheinlichkeit organisierten kriminellen Gruppen zugeschrieben, die sowohl Branchenprozesse als auch gängige IT-Services genau kennen – ein entscheidender Faktor für die Effektivität der Täuschung.
Zeitleiste und verwandte Aktivität
Die erste Welle aktueller Aktivitäten wird seit Juni 2025 sichtbar, während Teile der Infrastruktur mindestens seit Januar aktiv sind. Ein wahrscheinlich zusammenhängender Cluster agierte bereits von 2024 bis März 2025 und nutzte Infostealer wie DanaBot, Lumma Stealer, NetSupport und StealC. Trotz unterschiedlicher Payloads ist das Ziel einheitlich: persistenter Fernzugriff und Datendiebstahl.
Empfohlene Gegenmaßnahmen für Logistik, Spediteure und 3PLs
Starke Authentifizierung: MFA für Load Boards, E-Mail und Dispositionssysteme; regelmäßige Passwortrotation und Verbot von Wiederverwendung. Wo möglich passwortlose Verfahren (FIDO2) einführen.
RMM-Governance: Whitelisting genehmigter RMM-Tools, Bindung an namentlich autorisierte Admins, zeit- und netzwerkbasierte Einschränkungen, lückenloses Logging mit SOC-Alerts; Unbekannte RMM-Binaries in EDR/XDR blockieren.
E-Mail- und Domainhygiene: DMARC/DKIM/SPF strikt durchsetzen, Auto-Forwarding unterbinden, Thread-Hijacking-Indikatoren detektieren, Awareness-Trainings für Frachtvermittlungsteams und Monitoring auf Lookalike-Domains.
Operative Kontrollen: Änderungen an Routen, Abladepunkten oder Zahlungsmodalitäten stets über einen zweiten, unabhängigen Kommunikationskanal verifizieren; Rechte in Planungs- und TMS‑Systemen regelmäßig auditieren; Netzwerk-Segmentierung und Least Privilege umsetzen; Notfallpläne und Tabletop-Übungen für Cargo-Umleitungsfälle.
Digitale Zugriffe werden zunehmend zur physischen Tat genutzt. Wer MFA, robuste RMM-Policies, konsequentes E-Mail-Security-Hardening und unabhängige Verifikationsprozesse kombiniert, reduziert das Risiko kompromittierter Load-Board-Konten und erkennt Umleitungsversuche frühzeitig. Unternehmen sollten Indikatoren aus dem Proofpoint-Bericht sowie behördliche Empfehlungen (z. B. CISA) in Detection-Use-Cases überführen und ihre Lieferkettenpartner in die Abwehrmaßnahmen einbinden.
