Un grupo cibercriminal ligado a Rusia y Armenia estaría detrás de una campaña de phishing identificada como “Diesel Vortex” y que se ha dirigido a plataformas críticas del sector de transporte y logística, robando miles de credenciales y facilitando fraudes como desvío de carga y robo de fondos.
Una investigación conjunta de los equipos de inteligencia de amenazas de las firmas Have I Been Squatted y Ctrl-Alt-Int3l reveló una extensa operación de phishing dirigida específicamente a empresas de transporte y logística en los Estados Unidos y Europa. El actor malicioso detrás de esta operación, identificado como “Diesel Vortex”, ha estado activo desde septiembre de 2025 hasta al menos febrero de este año, y en ese período logró comprometer más de 1.600 credenciales únicas pertenecientes a usuarios de plataformas esenciales para el sector, como plataformas de carga, gestión de flotas y sistemas de tarjetas de combustible.
Los atacantes construyeron una infraestructura sofisticada de phishing a través de 52 dominios distintos, que imitaban con precisión servicios legítimos utilizados por corredores de carga, camioneros y operadores logísticos. Esta campaña no fue un simple ataque masivo, sino un esfuerzo dirigido que combinó correos electrónicos fraudulentos (spearphishing), técnicas de suplantación de voz (vishing) y la interferencia en grupos de Telegram relacionados con el sector, con el objetivo de interceptar códigos de autenticación multifactor y credenciales de acceso.
El código y los datos expuestos en un repositorio filtrado permitieron a los investigadores reconstruir el funcionamiento de la operación, incluyendo comunicaciones internas entre los operadores, que en varios casos se realizaban en idioma armenio, y la utilización de un panel de control que gestionaba los ataques en tiempo real. Esta evidencia sugiere la participación de operadores armenio-hablantes y vínculos con infraestructura y registros corporativos rusos.
Además de robar credenciales, el grupo implementó tácticas de ingeniería social avanzadas, como el uso de homógrafos cirílicos en los remitentes de correos para evadir filtros de seguridad, y un proceso de cloaking de nueve etapas para ocultar el contenido real del phishing. Una vez que las víctimas ingresaban sus datos en páginas clonadas, los operadores podían acceder no solo a cuentas, sino también a información sensible como números MC/DOT (número de identidad para empresas de transporte comercial en los Estados Unidos), detalles de pagos y tokens de autenticación, permitiendo el secuestro de cuentas, fraude con cheques y desvío de cargas.
Otra arista preocupante de esta operación fue su posible evolución como un servicio de phishing comercial, denominado internamente “GlobalProfit” o “MC Profit Always”, que podría haber sido ofrecido a otros actores maliciosos como un modelo de Phishing-as-a-Service (PhaaS). Esto indica una intención de monetizar la infraestructura más allá de un único ataque, transformando el código y la estructura en un producto de fraude reutilizable.
La colaboración entre plataformas tecnológicas y equipos de respuesta permitió desmantelar parte de la infraestructura del grupo, con la participación de Google Threat Intelligence, Cloudflare, GitLab, Microsoft Threat Intelligence Center y otros, mitigando así algunos dominios y servidores utilizados en la campaña antes de que pudiera ampliar su impacto.
“Diesel Vortex” es un caso que evidencia que los sectores de transporte y logística están siendo objetivos prioritarios de ataques cibernéticos complejos. El uso de técnicas dirigidas y la explotación de credenciales legítimas subrayan la necesidad de reforzar las políticas de autenticación, educación de trabajadores y mecanismos de detección en infraestructuras críticas del comercio global.