Dans un article de blog publié le 16 avril 2026, les chercheurs de Proofpoint retracent la manière dont ils ont infiltré un groupe criminel spécialisé dans le vol de marchandises physiques via des cyberattaques ciblant l’industrie du transport routier.

C’est une étude qui s’est articulée en deux temps.

En novembre 2025, Proofpoint mettait pour la première fois en lumière un groupe cybercriminel ciblant les transporteurs routiers américains afin de voler des marchandises physiques, allant des boissons énergisantes à l’électronique. Bref, tout ce qui se revend rapidement et discrètement.

L’attaque exploitait directement le fonctionnement quotidien du secteur. Aux États-Unis, chargeurs et transporteurs se rencontrent via des load boards, des plateformes où sont publiées les offres de fret disponibles, un système que les hackers ont réussi à compromettre.

Mais ce premier rapport présentait une limite : les victimes réelles coupaient systématiquement l’accès trop tôt. Pour observer ce qu’il se passe réellement après la compromission, Proofpoint a donc mis en place un environnement leurre, une fausse entreprise de transport, et exécuté volontairement la charge hostile développée par le groupe de pirates.

Bitdefender logo black
Box Bit 3
Faux SMS, mails frauduleux… Ne tombez plus dans le piège !
Gardez toujours une longueur d’avance sur les fraudeurs. Bitdefender Scam Protection analyse, détecte et neutralise instantanément les escroqueries qui visent votre argent. Une protection invisible mais redoutable, intégrée à Bitdefender Premium Security.
Je me protège contre les arnaques.

L’attaquant a mordu à l’hameçon et est resté plus d’un mois dans le système, permettant une analyse bien plus approfondie. Ces résultats ont été publiés dans une étude parue le 16 avril 2026.

Proofpoint se fait passer pour une victime

Qu’apprend-on ? Que le groupe concentre ses efforts sur la compromission de comptes légitimes au sein de ces plateformes. Une fois l’accès obtenu, il publie de fausses offres de fret… puis attend. Lorsqu’un transporteur répond, il reçoit un email contenant ce qui ressemble à un contrat standard, le type de document qu’un dispatcher traite des dizaines de fois par semaine. Sauf que le fichier joint installe en réalité, de manière silencieuse, un outil de prise de contrôle à distance sur sa machine.

Puis, l’attaquant supprime les réservations en cours, bloque les notifications du dispatcher, ajoute son propre numéro à l’extension professionnelle de la victime, réserve des chargements sous son identité, puis coordonne lui-même le transport pour faire disparaître les marchandises.

// Source : Montage Numerama
Les attaques combinent infiltration, analyse et usurpation d’identité pour permettre aux groupes de pirates de rediriger les cargaisons vers d’autres destinations. // Source : Montage Numerama

Ce que les chercheurs ont pu documenter grâce à leur piège mis en place en février 2026 est inédit. On y découvre le procédé technique derrière ces compromissions.

Concrètement, le collectif multiplie les points d’accès à la machine compromise. Il installe quatre versions distinctes de ScreenConnect, ainsi que deux autres outils de gestion à distance, pour être sûr de garder la main même si l’un d’eux est détecté et supprimé. En parallèle, il lance au moins treize scripts PowerShell pour évaluer la valeur de la cible : historique de navigation, accès bancaires, portefeuilles de cryptomonnaies ou encore cartes carburant utilisées par les flottes. Autant d’informations qui sont ensuite automatiquement envoyées vers des bots sur Telegram.

Une menace qui prend de l’ampleur

Aussi, le leurre a permis de comprendre comment le groupe évite d’être repéré par les systèmes de vérification. Les attaquants passent par un service externe qui leur permet de signer leurs logiciels malveillants avec des certificats valides, comme le feraient des éditeurs légitimes. Résultat : leurs outils paraissent fiables aux yeux du système, ce qui leur permet de contourner les alertes de sécurité de Windows et les autres blocages mis en place sur les plateformes de transport. Un service sous-traité et automatisé, jusqu’ici inconnu des chercheurs.

À l’issue de ces deux rapports, ce sont surtout les chiffres qui restent en tête. Selon le National Insurance Crime Bureau, les pertes liées au vol de cargaison aux États-Unis ont progressé de 27 % en 2024, et devraient encore augmenter de 22 % en 2025, pour un total estimé à 34 milliards de dollars de pertes annuelles.

Proofpoint a observé près d’une vingtaine de campagnes en quelques mois seulement, ciblant des entreprises de toutes tailles, des PME familiales aux grands groupes logistiques. Le groupe documenté n’est probablement qu’un acteur parmi d’autres dans un écosystème en pleine expansion.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !