Peretas Gunakan Alat RMM untuk Meretas Sistem Kargo dan Mencuri Pengiriman Barang

Peneliti keamanan menemukan bahwa kelompok peretas kini menargetkan perusahaan logistik dan transportasi kargo dengan memanfaatkan alat Remote Monitoring and Management (RMM) guna mengambil alih sistem operasi truk, broker, dan operator pengiriman — memungkinkan mereka mencuri kargo fisik bernilai tinggi secara langsung.

Menurut laporan dari Proofpoint, kampanye semacam ini telah diamati sejak Januari 2025, dengan peningkatan signifikan sejak Juni. Dalam tiga bulan terakhir saja, tercatat hampir dua lusin kampanye aktif, masing-masing mengirimkan hingga 1.000 email berisi tautan berbahaya ke target di industri logistik.

Target: Perusahaan Angkutan dan Broker di Seluruh Dunia

Sebagian besar korban berada di Amerika Utara, namun aktivitas serupa juga ditemukan di Brasil, Meksiko, India, Jerman, Chili, dan Afrika Selatan.

Para pelaku menargetkan broker muatan (freight brokers) dan operator truk (carriers) dengan pesan yang tampak sah, sering kali mengatasnamakan negosiasi muatan mendesak. Tujuannya adalah membuat korban mengunduh dan menjalankan file berbahaya berupa installer .EXE atau .MSI yang diam-diam memasang alat RMM seperti:

• ScreenConnect
• SimpleHelp
• PDQ Connect
• Fleetdeck
• N-able
• LogMeIn Resolve

Begitu terpasang, alat ini memberi peretas akses penuh jarak jauh, termasuk kemampuan mengambil kredensial, mengubah jadwal pengiriman, memblokir notifikasi, hingga menambahkan perangkat mereka sendiri ke sistem telepon kantor korban.

Skema Serangan: Dari Email ke Kendali Penuh

Modus serangan diawali dengan phishing dan rekayasa sosial. Peretas menggunakan akun yang telah disusupi di situs “load board” untuk memposting muatan palsu atau membajak percakapan email broker dan dispatcher yang sah.

Pesan yang dikirim biasanya meniru gaya komunikasi industri logistik — misalnya menyertakan load packet atau dokumen pengiriman resmi — sehingga korban tidak curiga saat mengunduh lampiran yang ternyata installer RMM.

Menurut Proofpoint, beberapa kampanye bahkan menggabungkan dua alat sekaligus, contohnya PDQ Connect yang otomatis mengunduh ScreenConnect dan SimpleHelp setelah dijalankan. Setelah akses diperoleh, peretas menjalankan alat pengambil kredensial seperti WebBrowserPassView untuk memperluas infiltrasi.

Keterlibatan Kelompok Kejahatan Terorganisir

Proofpoint menduga kuat bahwa operasi ini melibatkan jaringan kejahatan terorganisir yang memiliki pengetahuan mendalam tentang rute, waktu, dan jenis muatan bernilai tinggi. Dengan informasi tersebut, mereka dapat memilih pengiriman yang paling menguntungkan untuk dicuri dan mengalihkan truk ke lokasi palsu.

Salah satu perusahaan korban melaporkan bahwa peretas menipu dispatcher untuk menginstal RMM, kemudian menghapus semua email pemesanan, memblokir notifikasi, dan menambahkan nomor mereka sendiri ke sistem telepon internal.

“Mereka menggunakan email dan nomor resmi perusahaan kami untuk memesan muatan dari broker. Saat broker menelepon, peretas yang menjawab dan mengonfirmasi pesanan itu,” ujar perwakilan korban.

Barang curian seperti makanan, minuman, dan elektronik kemudian disalurkan ke pasar gelap atau dikirim ke luar negeri.

Rekomendasi Keamanan

Proofpoint menekankan beberapa langkah mitigasi penting bagi pelaku industri transportasi dan logistik:

• 🚫 Batasi instalasi alat RMM yang tidak disetujui dalam jaringan perusahaan.
• 🔍 Pantau aktivitas jaringan untuk mendeteksi akses jarak jauh yang tidak sah.
• 📧 Blokir lampiran .EXE dan .MSI di gateway email untuk mencegah eksekusi file berbahaya.
• 🧠 Edukasi karyawan agar berhati-hati terhadap email negosiasi muatan yang mendesak atau berasal dari pengirim tak dikenal.

Serangan ini menyoroti pergeseran tren dari pencurian data digital menuju pencurian fisik berbasis siber, di mana dunia maya menjadi pintu masuk untuk menguasai aset dunia nyata.

Sumber: Proofpoint