Have I Been Squatted의 연구자들이 Ctrl-Alt-Intel과 함께 2026년 2월에 미국과 유럽의 화물 및 물류 회사를 대상으로 한 피싱 작전을 발견했다고 보고했으며, 이를 Diesel Vortex라고 명명했습니다. 그들의 데이터에 따르면, 이 캠페인은 화물 거래소, 운송업체 및 중개인 포털, 그리고 결제 및 연료 시스템에 대한 자격 증명을 도난당하는 데 초점을 맞추고 있으며, 로그인 정보의 손상은 종종 돈에 대한 직접적인 접근이나 결제 전환의 가능성을 의미합니다.
유일한 공개된 세부 정보 출처는 연구자들의 발표이며, 2026년 2월 말까지 대형 전문 및 사이버 보안 미디어에서는 확인이나 병행 조사가 발견되지 않았습니다. 이는 제시된 사실을 반박하지 않지만, 시장이 이 이야기를 '신선한 개인 조사'로 인식하게 만들며, 이는 아직 독립적인 검증 메커니즘을 거치지 않았습니다. 아래에 설명된 세부 사항, 숫자 및 메커니즘은 Have I Been Squatted와 파트너의 보고서에 기반합니다: Diesel Vortex 및 복구된 피싱 인프라 설명.
보고서에 따르면, 캠페인의 확인된 활동 기간은 2025년 9월부터 2026년 2월까지입니다. 연구자들은 3,474개의 로그인/비밀번호 쌍이 가로채졌으며, 그 중 1,649개는 고유한 자격 증명이라고 주장합니다. 피싱 페이지 방문에 대한 텔레메트리는 9,016개의 고유 IP 주소 방문자를 포함한다고 주장됩니다. 인프라에는 52개의 도메인이 사용되었으며, 대상 연락처 주소 목록은 75,840개의 이메일(57,092개는 고유)로 구성되었습니다. 이러한 숫자는 자체로 중요한 것이 아니라, 한 대형 플레이어에 대한 특정 공격이 아니라, 넓은 범위의 발송, 필터링 및 클릭한 사람들을 적극적으로 '추적'하는 산업적 '깔때기'였음을 보여줍니다.
보고서에는 DAT 및 Truckstop(텍스트에서 'DAT Truckstop'이라는 표현이 등장함), Central Dispatch, TIMOCOM, Teleroute, Highway, 그리고 Penske Logistics를 포함한 대형 운영자 및 물류 부서의 포털 모방이 언급됩니다. EFS(Electronic Funds Source) 주변의 계획은 데이터 유출 위험뿐만 아니라 수표/연료 사기 및 결제 정보 변경의 잠재적 기반을 제공합니다. 보고서에는 35건의 EFS 수표와 관련된 시도가 별도의 관찰된 수익화 지표로 언급됩니다.
이러한 계정의 손상은 일반적으로 시장에 잘 알려진 여러 시나리오로 귀결됩니다: 로딩/지정의 가로채기 또는 변경, 배송 세부 사항 및 연락처에 대한 접근, '운송업체-중개인-선주' 간의 통신 남용, 이중 중개, 송장 전환 및 결제 지침 변경. 결제 및 연료 시스템에 대한 접근은 비인가 발행/재발행부터 가짜 확인을 통한 돈 인출 시도까지 더 직접적인 위험을 초래합니다.
업계 뉴스로 최신 정보 유지
뉴스레터를 구독하고 최신 트럭 운송 산업 뉴스, 규정 업데이트 및 경력 팁을 이메일로 받아보세요.
귀하의 개인 정보를 존중합니다. 언제든지 구독 취소할 수 있습니다.
연구자들에 따르면 Diesel Vortex의 주요 특징은 단순히 로그인과 비밀번호를 수집하는 것이 아니라, 실제로 피해자를 필요한 단계로 안내하고 일회용 코드를 가로채는 '컨투어의 운영자'입니다. 보고서에는 복구된 메시지와 로그에서 음성 피싱(vishing)의 징후가 등장하지만, 중앙 관리 채널은 Telegram이었습니다.
메커니즘은 다음과 같았습니다: 피해자가 피싱 페이지에 도달하여 로그인/비밀번호를 입력하면, 운영자는 Telegram에서 알림을 받고 피해자에게 추가 요청을 시작할 수 있었습니다. 예를 들어, 2FA 코드를 요청하거나, 'Google/Microsoft/Yahoo를 통한 로그인'으로 전환하거나, 문제가 발생하면 세션을 차단하는 등의 요청을 할 수 있었습니다. 이러한 접근 방식은 물류에서 가장 일반적인 현실을 목표로 합니다: 많은 계정이 SMS/TOTP로 보호되어 대규모 '스크립트' 공격에 대해 작동하지만, 코드가 작동하는 순간에 사람에게 '코드를 빼앗기는' 공격에 대해 잘 보호되지 않습니다.
보고서의 내부 메트릭은 운영자의 수작업을 간접적으로 확인합니다: 예를 들어, 'Invalid' 명령/상태는 4,657개의 요청 중 1,559번 사용되었습니다. 즉, 운영자는 종종 올바른 비밀번호/코드를 제한된 시간 내에 '잡아내기' 위해 재확인하거나 시도했습니다.
보고서는 브라우저 보안 메커니즘과 블록리스트를 우회하기 위한 '이중 도메인' 아키텍처를 설명합니다. 사용자에게는 '괜찮은' 도메인(종종 .com 영역)이 보였으며, 이는 '광고' 도메인으로 가정됩니다. 그러나 실제 피싱 양식은 두 번째 도메인에서 전체 화면 iframe 내에 로드되었습니다. 연구자들의 논리에 따르면, 이는 스킴의 생존성을 높였습니다: '콘텐츠' 도메인이 차단되더라도 '쇼케이스'는 더 오래 지속될 수 있으며, 도메인 회전은 더 저렴하고 빠르게 이루어질 수 있습니다.
그 후에는 원치 않는 방문자를 필터링하는 다단계 '깔때기'가 작동했습니다. 링크 포함 계획, 템플릿/도메인 활동 스위치, ipinfo.io를 기반으로 한 IP/ISP/ASN 필터링, 사용자 에이전트에 따른 필터링(봇 및 샌드박스용), URL에 따른 매개변수 및 '게이트', 블랙리스트, iframe용 토큰 등이 언급됩니다. 보고서에는 타이밍에 대한 구체적인 내용도 포함되어 있습니다: 브라우저는 /ajax/check_request.php 형태의 엔드포인트를 매초마다 폴링했으며, iframe 토큰의 TTL은 10초였습니다. 연구자들은 구현 오류를 지적하며, 최대 수명 시간을 엄격히 제어하지 않아 '오래 지속되는' 토큰을 위조할 수 있었다고 언급합니다.
보고서에는 인프라의 '자위' 지표도 포함되어 있습니다: IP 블록리스트에 254개의 기록(CIDR 및 특정 주소 포함), ISP/ASN에 따른 차단을 위한 49개의 하위 문자열, 사용자 에이전트에 따른 16개의 패턴이 있습니다. 이는 피싱 플랫폼의 성숙도를 반영합니다: 공격자들은 분명히 제공업체, SOC 팀 및 연구자들의 주의를 예상하고 '잘못된' 방문자에 대한 필터를 미리 구축했습니다.
미국 화물 시장에 특히 중요한 또 다른 세부 사항은 연구자들이 복구한 자료에서 GlobalProfit이라는 내부 브랜드 명칭과 'MC Profit Always'라는 마케팅 이름이 등장한다는 것입니다. 보고서에서는 'MC'가 FMCSA 시스템의 Motor Carrier(MC 번호)를 참조한다고 추측하며, 이는 창작자들이 미국 시장과 그들의 운송업체 식별에 익숙한 용어로 생각했음을 나타냅니다.
연구자들은 플랫폼이 'phishing-as-a-service'로 발전할 수 있었다고 생각합니다. 즉, 다른 범죄자들에게 판매하기 위한 제품으로: 산업 서비스에 대한 준비된 템플릿, 관리 패널, 텔레그램 봇, 로깅, 차단/클로킹, 빠른 도메인 회전, MFA 가로채기를 위한 운영자 모델.
공격자들의 내구성은 높았지만, 보고서에 따르면 운영상의 실수가 그들을 실망시켰습니다: 피싱 사이트 중 하나에서 .git 디렉토리가 접근 가능했습니다. 이는 연구자들이 개발 기록을 다운로드하고 거의 완전한 아티팩트 흔적을 수집할 수 있게 했습니다: 코드 베이스, 데이터베이스 덤프, 웹훅 로그, 내부 커뮤니케이션 조각 및 변경 기록. 보고서에는 복구된 플랫폼이 2,100개 이상의 파일과 54개의 테이블로 구성된 데이터베이스를 포함했으며, 2026년 2월 4일 타임스탬프가 있는 36.6MB SQL 덤프가 주요 아티팩트로 언급되었습니다.
연구자들에 따르면, Telegram 도구에는 10개의 봇 토큰이 발견되었으며, 그 중 9개는 분석 시점에 여전히 활성화되어 있었습니다. 이는 실무자들에게 중요합니다: 이러한 관리 체계는 토큰과 채널이 살아 있는 한 지속되므로, 토큰 유출은 제공업체가 신속하게 이를 취소할 경우 인프라 '차단'을 가속화할 수 있습니다.
보고서 작성자는 그룹을 '러시아 관련'으로 설명합니다: 코드와 문서의 러시아어 주석이 언급되며, 모스크바 컨텍스트를 나타내는 메타데이터도 있습니다. 동시에, Telegram 로그에는 아르메니아어가 등장하며, 파트너 Ctrl-Alt-Intel이 해당 조각의 해석에 참여했습니다. 이는 혼합된 운영 팀이나 참가자 간의 역할 분배로 보입니다. 연구자들은 실제 인물을 지칭하지 않으며, 봇과 로그에서 'Leo operator', 'Penske operator'와 같은 운영자 라벨/역할만 등장하며, 이는 특정 인물의 식별로 해석될 수 없습니다.
게시 시점에 독립적인 확인이 없으므로, 시장 참가자들은 그룹의 '지리적 위치'를 연구자들의 작업 가설로 받아들이고, 법 집행 기관의 확립된 사실로 받아들이지 않는 것이 좋습니다.
Diesel Vortex라는 특정 이름을 제외하더라도, 공격 모델 자체는 현재 업계의 고통 지점에 잘 맞습니다. 스팟 복구 및 마진 경쟁은 의사 결정 속도를 높이며, 이는 '계정을 긴급히 확인하십시오', '비밀번호를 업데이트하십시오', '결제를 확인하십시오'라는 이메일에 대한 취약성을 증가시킵니다. 동시에 미국의 전문 협회들은 이중 중개 및 결제 조작으로 인한 피해 증가를 공개적으로 강조하고 있으며, 시장의 사기에 대한 조치를 강화하는 것을 지지합니다. 공격자들에게 화물 거래소 및 결제 시스템에 대한 계정 도난은 동일한 스킴에 대한 직접적인 경로이며, 접근이 합법적으로 보이기 때문에 '전환율'이 더 높습니다.
실제로 이는 운송업체와 중개인에게 대부분의 대규모 손실에 대한 '진입점'이 여전히 평범하다는 것을 의미합니다: 화물 거래소나 결제 서비스에서 디스패처, 회계사 또는 소유 운영자의 계정에 대한 신뢰를 얻고 MFA를 입력하는 순간에 이를 가로채는 것입니다.
