Robar un tráiler por Telegram: cómo Diesel Vortex llevó a la ruina a gigantes del transporte
Chats filtrados destapan la cara cínica del mayor hackeo de la industria.
Desde septiembre de 2025 los operadores de transporte de carga y las empresas de logística en Estados Unidos y Europa han estado bajo la mira de una amplia campaña de phishing. Tras los ataques se sitúa el grupo con motivación financiera Diesel Vortex, que en pocos meses logró recopilar miles de credenciales y construir una infraestructura ramificada para engañar a los participantes del mercado.
La campaña fue revelada por el equipo de la plataforma de monitoreo de typosquatting Have I Been Squatted: la investigación. Encontraron un repositorio abierto con una base de datos SQL relacionada con un proyecto de phishing denominado Global Profit, promocionado en el entorno criminal como MC Profit Always. En su interior hallaron también registros de webhooks de Telegram que permitieron rastrear la correspondencia de los operadores.
Los atacantes emplearon 52 dominios y robaron al menos 1.649 pares únicos de usuario y contraseña. En total, los especialistas hallaron alrededor de 3.500 registros sustraídos. Entre los afectados figuran DAT Truckstop, TIMOCOM, Teleroute, Penske Logistics, Girteka y Electronic Funds Source. Se trata de servicios que usan a diario corredores, transportistas y operadores de cadenas de suministro.
También se incorporó a la investigación la empresa Ctrl-Alt-Intel, especializada en el análisis de infraestructuras tokenizadas. Con fuentes abiertas relacionaron dominios, cuentas y posibles vínculos con entidades comerciales. Una misma dirección de correo electrónico utilizada para registrar los recursos de phishing apareció en documentos corporativos de empresas logísticas rusas que operan en el mismo sector.
El esquema de ataques incluía el envío de correos mediante Zoho SMTP y Zeptomail. En las direcciones del remitente y en los asuntos emplearon homógrafos cirílicos para eludir los filtros. Además recurrieron al vishing y se infiltraron en canales de Telegram donde interactúan conductores y despachadores. Tras seguir un enlace, la víctima accedía a una página HTML minimalista con un iframe que cargaba una copia de la plataforma objetivo. A continuación se activaba un mecanismo multinivel de ocultación en dominios con las zonas .top y .icu.
Las páginas falsas reproducían prácticamente por completo las interfaces de los servicios originales y recopilaban no solo nombres de usuario y contraseñas, sino también números MC y DOT, datos RMIS, códigos PIN, códigos de un solo uso de la autenticación de dos factores, información sobre pagos y recibos. El proceso se controlaba mediante bots de Telegram: el operador decidía cuándo pasar a la siguiente etapa, solicitar datos adicionales o interrumpir la sesión.
El análisis también reveló indicios de un esquema más amplio que incluye la compromisión de buzones de correo, la suplantación de transportistas y el llamado doble corretaje. En este último caso los atacantes usan datos robados de transportistas para reservar cargas y redirigirlas a puntos de recepción ficticios.
La infraestructura de Diesel Vortex fue finalmente desarticulada en el marco de acciones conjuntas de GitLab, Cloudflare, Google Threat Intelligence, CrowdStrike y Microsoft Threat Intelligence Center. El listado completo de indicadores de compromiso fue publicado en el informe de Have I Been Squatted.