| La relación entre varios TDS y DNS asociados con Vigorish Viper y la experiencia de aterrizaje final para el usuario |
Un sindicato chino del crimen organizado con vínculos al lavado de dinero y al tráfico de personas en el sudeste asiático ha estado utilizando una «suite tecnológica» avanzada que ejecuta todo el espectro de la cadena de suministro del cibercrimen para liderar sus operaciones.
Infoblox es seguimiento el propietario y mantenedor bajo el nombre Víbora vigorosaseñalando que fue desarrollado por Yabo Group (también conocido como Yabo Sports), que en el pasado ha estado vinculado a operaciones de apuestas ilegales y estafas de matanza de cerdos. A fines de 2022, cambió su nombre a Kaiyun Sports y, desde entonces, ha sido absorbido por otra entidad recién formada llamada Ponymuah.
La suite, comercializada en China como «baowang» («包网», que significa paquete completo), abarca varios componentes, como configuraciones de sistemas de nombres de dominio (DNS), alojamiento de sitios web, mecanismos de pago, publicidad y aplicaciones móviles. También aloja miles de nombres de dominio y numerosas marcas en una infraestructura vinculada a Hong Kong y China.
La empresa se basa en conseguir patrocinios de clubes de fútbol europeos utilizando empresas fachada o marcas blancas, y utilizarlas como un «multiplicador de fuerza» para publicitar sitios de apuestas ilegales en la región con el objetivo de atraer a más apostadores. En julio de 2023, se anunció que reportado Que los logotipos de las empresas de apuestas aparecieron hasta 3.500 veces durante el transcurso de un partido de fútbol televisado.
Yabo, Ponymuah y otras filiales relacionadas como OB (también conocida como OBGM), DB Gaming, Panda Sports, KM Gaming y Smart King Games (SKG) son parte de la extensa red de Vigorish Viper, lo que resalta la propiedad enredada y turbia de las empresas de juego y los minuciosos pasos que se toman para eludir el escrutinio.
No son sólo los clubes de fútbol ingleses los que han participado en estos patrocinios, ya que la investigación ha descubierto que los equipos de cricket y kabaddi en la India también han firmado acuerdos de patrocinio similares para publicitar las marcas Vigorish Viper.
«Vigorish Viper opera una vasta red de más de 170.000 nombres de dominio activos, evadiendo la detección y la aplicación de la ley mediante su sofisticado uso de sistemas de distribución de tráfico DNS CNAME», escribieron los investigadores de Infoblox Maël Le Touz, Jacques Portal, Renée Burton y Elena Puga en un exhaustivo informe compartido con The Hacker News.
«Además de los juegos de azar, el CNAME de Vigorish Viper [traffic distribution systems] Ofrecen servicios de streaming ilegal y sitios de pornografía. Algunos de los dominios utilizados para el streaming son dominios registrados hace tiempo que Vigorish Viper adquirió después de que expirara el registro original.
Burton, vicepresidente de inteligencia de amenazas de Infoblox, describió al actor de amenazas como «una de las amenazas más sofisticadas e importantes a la seguridad digital» descubiertas hasta la fecha.
 |
| Una descripción general del plan de patrocinio deportivo de Vigorish Viper |
«Vigorish Viper creó una infraestructura compleja con múltiples capas de sistemas de distribución de tráfico (TDS) que utilizan registros DNS CNAME y JavaScript, lo que hace que sea increíblemente difícil de detectar», dijo Burton en un comunicado. «Estos sistemas se complementan con sus propias comunicaciones cifradas y aplicaciones desarrolladas a medida, lo que hace que sus actividades no solo sean elusivas sino también notablemente resistentes».
Esto implica el uso de Registros DNS CNAME para redirigir el tráfico de un dominio a otro, una técnica adoptada anteriormente por otros actores de amenazas DNS como Savvy Seahorse. Además, el sistema tiene la capacidad de diferenciar entre direcciones IP residenciales, móviles y comerciales en China.
A principios de enero, la iniciativa Play the Game del Instituto Danés de Estudios Deportivos descubierto Conexiones entre docenas de clubes de fútbol europeos y marcas de juego ilegal que se remontan a Yabo y apuntan a jurisdicciones como China, donde el juego está prohibido y se considera un crimen organizado.
Los delitos en línea también tienen un aspecto fuera de línea que involucra: Trata de personas donde las personas son atraídas con la promesa de trabajos bien remunerados y son obligadas a apoyar esquemas de apuestas deportivas y promover estafas de matanza de cerdos y otras estafas de criptomonedas, según la Federación Asiática de Carreras (ARF).
«Algunos operan en equipos de 8 a 10 personas y se coordinan con comentaristas y transmisores de deportes en vivo (presumiblemente en transmisiones piratas) para promover grupos de chat en vivo que comercializan sitios web de apuestas durante los juegos», según un informe. informe [PDF] publicado por la ARF en octubre de 2023. «Otros actúan como gestores de relaciones para animar a los clientes a seguir apostando y otros como agentes directos de captación de clientes».
 |
| Pasos entre cuando un usuario visita un sitio y comienza a realizar apuestas |
Infoblox dijo que su propia investigación sobre Vigorish Viper surgió de un único dominio anómalo, kb[.]com – un sitio de apuestas llamado KB Sports que utiliza servidores de nombres chinos – que también aloja yabo[.]com, el nombre de dominio de Yabo Sports.
Un aspecto interesante a destacar aquí es que el sitio web está bloqueado geográficamente para usuarios ubicados en Francia y otras partes de Europa, pero es accesible desde China continental y las regiones administrativas especiales de Hong Kong y Macao.
«Cuando se visita desde una de esas áreas, el usuario es redirigido a otro dominio, por ejemplo, kb830[.]»El dominio de redirección cambia con el tiempo», señalaron los investigadores. «Además, todas las funciones de ‘clic derecho’ están deshabilitadas en el sitio, al igual que la selección de texto, lo que dificulta los esfuerzos por investigar o copiar el sitio».
Los usuarios del sitio web reciben anuncios que promocionan incentivos financieros para apostar regularmente, junto con opciones de pago mediante WeChat Pay, EBpay, Alipay, JD Pay, KOIPay, AstroPay, YunShanFu, UniPay, Net Pay, Fast Pay y NetBank. Las apuestas se realizan a través de agentes, que realizan las apuestas, administran los depósitos y se comunican con los jugadores a través de aplicaciones de chat personalizadas y encriptadas.
Un examen más profundo de los registros de consultas DNS también ha descubierto evidencia de que las actividades de Vigorish Viper trascienden China para atacar a usuarios de todo el mundo.
Algunos de los otros mecanismos de defensa incorporados en estos sitios incluyen la verificación periódica de señales de actividad automatizada y la entrega de un CAPTCHA a los visitantes en un intento de evitar posibles intentos de escaneo, o cuando intentan comunicarse con el servicio de atención al cliente, una tarea realizada por personas reales que han sido traficadas al sudeste asiático.
Pero eso no es todo. Los usuarios que visitan uno de los dominios de la marca Vigorish Viper están sujetos a múltiples rondas de comprobaciones de huellas digitales para validar que la dirección IP se encuentra en China y que son legítimos, antes de que se les permita apostar en los sitios.
«Tanto el DNS como el software vinculan toda la empresa de Vigorish Viper a Yabo Sports o Yabo Group», afirmó la empresa. «Su alcance se extiende a docenas de marcas, posiblemente cientos, y se dirige a usuarios más allá del sudeste asiático».
«A pesar de la enorme cantidad de nombres de dominio, sitios web y aplicaciones que los acompañan, junto con su presencia abierta ante el ojo público, Vigorish Viper está operando directa e inexplicablemente en la República Popular China sin consecuencias significativas».