| La relation entre les différents TDS et DNS associés à Vigorish Viper et l’expérience d’atterrissage finale pour l’utilisateur |
Un syndicat du crime organisé chinois lié au blanchiment d’argent et au trafic d’êtres humains en Asie du Sud-Est utilise une « suite technologique » avancée qui gère l’ensemble de la chaîne d’approvisionnement de la cybercriminalité pour mener ses opérations.
Infoblox est suivi le propriétaire et le mainteneur sous le nom Vipère vigoureusenotant qu’il est développé par le groupe Yabo (alias Yabo Sports), qui a été lié à des opérations de jeu illégales et à des escroqueries d’abattage de porcs dans le passé. Fin 2022, il a été rebaptisé Kaiyun Sports et a depuis été absorbé par une autre entité nouvellement formée appelée Ponymuah.
La suite, commercialisée en Chine sous le nom de « baowang » (« 包网 », signifiant package complet), comprend plusieurs composants tels que les configurations DNS (Domain Name System), l’hébergement de sites Web, les mécanismes de paiement, la publicité et les applications mobiles. Elle héberge également des milliers de noms de domaine et de nombreuses marques dans une infrastructure liée à Hong Kong et à la Chine.
L’entreprise s’appuie sur l’obtention de parrainages de clubs de football européens en utilisant des sociétés écrans ou des marques blanches, et en les utilisant comme un « multiplicateur de force » pour faire la publicité de sites de jeux illégaux dans la région dans le but d’attirer plus de parieurs. En juillet 2023, il a été signalé que les logos des sociétés de paris apparaissaient jusqu’à 3 500 fois au cours d’un match de football télévisé.
Yabo, Ponymuah et d’autres ramifications apparentées comme OB (alias OBGM), DB Gaming, Panda Sports, KM Gaming et Smart King Games (SKG) font tous partie du vaste réseau de Vigorish Viper, mettant en évidence la propriété complexe et obscure des sociétés de jeux d’argent et les étapes minutieuses entreprises pour éviter tout contrôle.
Les clubs de football anglais ne sont pas les seuls à avoir recours à ces parrainages, puisque l’enquête a révélé que des équipes de cricket et de kabaddi en Inde ont également conclu des accords de parrainage similaires pour promouvoir les marques Vigorish Viper.
« Vigorish Viper exploite un vaste réseau de plus de 170 000 noms de domaine actifs, échappant à la détection et à l’application de la loi grâce à son utilisation sophistiquée des systèmes de distribution du trafic DNS CNAME », ont déclaré les chercheurs d’Infoblox Maël Le Touz, Jacques Portal, Renée Burton et Elena Puga dans un rapport exhaustif partagé avec The Hacker News.
« En plus des jeux de hasard, le CNAME de Vigorish Viper [traffic distribution systems] « Ces sites proposent des sites de streaming et de pornographie illégaux. Certains des domaines utilisés pour le streaming sont des domaines enregistrés depuis longtemps que Vigorish Viper a récupérés après l’expiration de l’enregistrement d’origine. »
Burton, vice-président du renseignement sur les menaces chez Infoblox, a décrit l’acteur de la menace comme « l’une des menaces les plus sophistiquées et les plus importantes pour la sécurité numérique » découvertes à ce jour.
 |
| Un aperçu du programme de parrainage sportif de Vigorish Viper |
« Vigorish Viper a créé une infrastructure complexe avec plusieurs couches de systèmes de distribution de trafic (TDS) utilisant des enregistrements DNS CNAME et JavaScript, ce qui rend sa détection incroyablement difficile », a déclaré Burton dans un communiqué. « Ces systèmes sont complétés par leurs propres communications cryptées et des applications développées sur mesure, ce qui rend leurs activités non seulement insaisissables mais aussi remarquablement résilientes. »
Cela implique l’utilisation de Enregistrements DNS CNAME pour rediriger le trafic d’un domaine vers un autre, une technique précédemment adoptée par d’autres acteurs de la menace DNS comme Savvy Seahorse. De plus, le système a la capacité de différencier les adresses IP résidentielles, mobiles et commerciales en Chine.
Début janvier, l’initiative Play the Game de l’Institut danois d’études sportives découvert Connexions entre des dizaines de clubs de football européens et des marques de jeux d’argent illégales qui peuvent être retracées jusqu’à Yabo et ciblent des juridictions comme la Chine où les jeux d’argent sont interdits et considérés comme un crime organisé.
Les crimes en ligne ont également un aspect hors ligne impliquant traite des êtres humains dans lequel les gens sont attirés par la promesse d’emplois bien rémunérés et sont contraints de soutenir des systèmes de paris sportifs et de promouvoir des escroqueries d’abattage de porcs et d’autres escroqueries liées aux crypto-monnaies, selon la Fédération asiatique des courses de chevaux (ARF).
« Opérant en équipes de 8 à 10 personnes, certains se coordonnent avec des commentateurs et des diffuseurs de sports en direct (vraisemblablement sur des flux pirates) pour promouvoir des groupes de discussion en direct commercialisant des sites de paris pendant les matchs », selon un rapport [PDF] publié par l’ARF en octobre 2023. « D’autres agissent en tant que gestionnaires de relations pour encourager les clients à continuer de parier et d’autres en tant qu’agents de recrutement direct de clients. »
 |
| Étapes entre le moment où un utilisateur visite un site et le moment où il commence à placer des paris |
Infoblox a déclaré que sa propre enquête sur Vigorish Viper provenait d’un seul domaine anormal, kb[.]com – un site de jeu nommé KB Sports qui utilise des serveurs de noms chinois – qui héberge également yabo[.]com, le nom de domaine de Yabo Sports.
Un aspect intéressant à noter ici est que le site Web est géo-bloqué pour les utilisateurs situés en France et ailleurs en Europe, mais est accessible depuis la Chine continentale et les régions administratives spéciales de Hong Kong et de Macao.
« Lorsqu’il est visité à partir de l’une de ces zones, l’utilisateur est redirigé vers un autre domaine, par exemple, kb830[.] »com », ont souligné les chercheurs. « Le domaine de redirection change au fil du temps. De plus, toutes les fonctionnalités de « clic droit » sont désactivées sur le site, tout comme la sélection de texte, ce qui entrave les efforts d’investigation ou de copie du site ».
Les utilisateurs du site Web reçoivent ensuite des publicités faisant la promotion d’incitations financières pour parier régulièrement, ainsi que des options de paiement via WeChat Pay, EBpay, Alipay, JD Pay, KOIPay, AstroPay, YunShanFu, UniPay, Net Pay, Fast Pay et NetBank. Les paris se déroulent par l’intermédiaire d’agents, qui placent les paris, gèrent les dépôts et communiquent avec les joueurs via des applications de chat cryptées sur mesure.
Un examen plus approfondi des journaux de requêtes DNS a également révélé des preuves que les activités de Vigorish Viper dépassent la Chine pour cibler les utilisateurs du monde entier.
Certains des autres mécanismes de défense intégrés à ces sites comprennent la vérification périodique des signes d’activité automatisée et la fourniture d’un puzzle CAPTCHA aux visiteurs pour tenter d’éviter d’éventuels efforts d’analyse, ou lorsqu’ils tentent de joindre le support client, une tâche effectuée par de vraies personnes qui ont été victimes de trafic en Asie du Sud-Est.
Ce n’est pas tout. Les utilisateurs qui visitent l’un des domaines de la marque Vigorish Viper sont soumis à plusieurs séries de vérifications d’empreintes digitales pour valider que l’adresse IP se trouve en Chine et qu’ils sont légitimes, avant d’être autorisés à parier sur les sites.
« Le DNS et le logiciel relient l’ensemble de l’entreprise Vigorish Viper à Yabo Sports ou Yabo Group », a déclaré la société. « Leur portée s’étend à des dizaines de marques, peut-être à des centaines, et cible des utilisateurs au-delà de l’Asie du Sud-Est. »
« Malgré le nombre considérable de noms de domaine, de sites Web et d’applications associées, ainsi que sa présence manifeste aux yeux du public, Vigorish Viper opère directement et inexplicablement en RPC sans conséquence significative. »