Security

Kampanye Phishing “Diesel Vortex” Targetkan Perusahaan Logistik AS dan Eropa

5 minutes ago
2 minutes read

Kelompok ancaman bermotif finansial yang dijuluki Diesel Vortex dilaporkan mencuri kredensial dari operator angkutan dan logistik di Amerika Serikat serta Eropa melalui kampanye phishing masif yang memanfaatkan sedikitnya 52 domain berbahaya.

Kampanye yang berlangsung sejak September 2025 ini disebut telah mencuri 1.649 kredensial unik dari berbagai platform dan penyedia layanan penting dalam industri logistik. Secara total, peneliti menemukan hampir 3.500 pasangan kredensial yang dicuri.

Beberapa korban yang terdampak mencakup platform besar seperti DAT Truckstop, TIMOCOM, Teleroute, Penske Logistics, Girteka, serta Electronic Funds Source (EFS).

Terungkap dari Repositori Terbuka

Kampanye ini terungkap setelah platform pemantau typosquatting Have I Been Squatted menemukan repositori terbuka berisi database SQL dari proyek phishing bernama “Global Profit”, yang juga dipasarkan ke pelaku kejahatan lain dengan nama “MC Profit Always”.

Repositori tersebut turut menyertakan log webhook Telegram yang mengungkap komunikasi internal operator. Berdasarkan bahasa yang digunakan, peneliti menduga pelaku berbahasa Armenia dan memiliki keterkaitan dengan infrastruktur Rusia.

Analisis dilakukan bersama penyedia infrastruktur tokenisasi Ctrl-Alt-Intel, yang memetakan hubungan antara operator, infrastruktur, dan entitas terkait menggunakan teknik open-source intelligence (OSINT).

Operasi Terorganisir dengan Struktur Layaknya Perusahaan

Peneliti menemukan tautan ke peta pikiran internal yang menggambarkan operasi terorganisir dengan pembagian peran jelas, termasuk pusat panggilan, dukungan email, pengembang, serta staf yang bertugas mencari pengemudi, operator, dan kontak logistik.

Dokumen tersebut juga merinci saluran akuisisi korban seperti marketplace DAT One, kampanye email, penipuan konfirmasi tarif (rate confirmation fraud), serta model pendapatan berdasarkan tingkatan operasional.

Peneliti menyebut kelompok ini membangun infrastruktur phishing khusus untuk platform yang digunakan sehari-hari oleh broker, perusahaan truk, dan operator rantai pasok, termasuk papan muatan (load boards), portal manajemen armada, sistem kartu bahan bakar, dan bursa pengiriman barang.

Teknik Phishing dan Cloaking Canggih

Serangan dilakukan melalui email phishing yang dikirim menggunakan Zoho SMTP dan Zeptomail, dengan trik homoglyph Kiril untuk menyamarkan pengirim dan subjek agar lolos filter keamanan.

Kelompok ini juga memanfaatkan voice phishing serta menyusup ke kanal Telegram yang diikuti oleh pekerja sektor logistik.

Ketika korban mengklik tautan phishing, mereka diarahkan ke halaman HTML minimal di domain .com yang memuat iframe layar penuh. Selanjutnya, sistem menerapkan proses cloaking sembilan tahap melalui domain .top atau .icu untuk menyembunyikan aktivitas dari pemindai keamanan.

Halaman phishing dirancang sebagai tiruan pixel-level dari platform logistik yang ditargetkan. Data yang dicuri dapat mencakup:

  • Kredensial login
  • Nomor izin dan MC/DOT
  • Detail login RMIS
  • PIN dan kode autentikasi dua faktor
  • Token keamanan
  • Informasi pembayaran dan nomor cek

Proses phishing berada di bawah kendali langsung operator melalui bot Telegram, yang dapat memutuskan kapan melanjutkan tahap berikutnya, meminta kata sandi tambahan seperti Google atau Microsoft 365, mengaktifkan 2FA, atau bahkan memblokir sesi korban.

Dugaan Keterkaitan dengan Rusia dan Penipuan Muatan

Investigasi OSINT menemukan bahwa alamat email yang digunakan untuk mendaftarkan infrastruktur phishing juga muncul dalam dokumen perusahaan Rusia yang bergerak di bidang perdagangan grosir, transportasi, dan pergudangan—sektor yang sama dengan target Diesel Vortex.

Peneliti menyimpulkan bahwa kelompok ini tidak hanya mencuri kredensial, tetapi juga terlibat dalam penyamaran identitas pengangkut, pembajakan email, serta praktik double brokering atau pengalihan muatan.

Double brokering adalah praktik menggunakan identitas operator yang dicuri untuk memesan pengiriman, kemudian mengalihkan muatan ke titik pengambilan palsu sehingga barang dapat dicuri.

Infrastruktur Dibongkar

Operasi Diesel Vortex akhirnya berhasil diganggu melalui koordinasi antara GitLab, Cloudflare, Google Threat Intelligence, CrowdStrike, serta Microsoft Threat Intelligence Center. Panel phishing, domain berbahaya, dan repositori GitLab yang digunakan dalam operasi tersebut telah diturunkan.

Daftar indikator kompromi (IoC) lengkap, termasuk detail jaringan, akun Telegram, domain, alamat email, serta alamat kripto, tersedia dalam laporan resmi Have I Been Squatted.

Kampanye ini menunjukkan bagaimana sektor logistik—yang menangani volume transaksi tinggi namun sering kali bukan prioritas utama dalam program keamanan perusahaan—menjadi target empuk operasi siber terorganisir.

Tags
5 minutes ago
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button