Um sindicato do crime organizado chinês com conexões de lavagem de dinheiro e tráfico humano em toda a Ásia Sudeste tem utilizado um "pacote de tecnologia" avançado que abrange todo o espectro da cadeia de suprimentos de cibercrimes para liderar suas operações.
A Infoblox está monitorando o proprietário e mantenedor sob o apelido de Vigorish Viper, observando que foi desenvolvido pelo Grupo Yabo (conhecido também como Yabo Sports), que foi associado a operações de apostas ilegais e golpes de abate de porcos no passado.
No final de 2022, ele foi rebatizado como Kaiyun Sports e, desde então, foi absorvido por outra entidade recém-formada chamada Ponymuah.
O conjunto, comercializado na China como "baowang" ("包网", significa pacote completo) engloba vários componentes, como configurações do Sistema de Nome de Domínio (DNS), hospedagem de sites, mecanismos de pagamento, publicidade e aplicativos móveis.
Ele também hospeda milhares de nomes de domínio e diversas marcas em uma infraestrutura que está ligada a Hong Kong e China.
A empresa apoia-se na obtenção de patrocínios de clubes de futebol europeus usando empresas de fachada ou marcas white label e usá-los como um "multiplicador de força" para anunciar sites ilegais de apostas na região com o objetivo de atrair mais apostadores.
Em julho de 2023, foi relatado que logotipos de empresas de apostas apareceram até 3.500 vezes durante o curso de uma partida de futebol televisionada.
Yabo, Ponymuah e outras ramificações relacionadas como OB (conhecido também como OBGM), DB Gaming, Panda Sports, KM Gaming e Smart King Games (SKG) fazem todos parte da extensa rede do Vigorish Viper, destacando a propriedade confusa e obscura das companhias de apostas e as medidas cuidadosas tomadas para evitar escrutínio.
Não são apenas os clubes de futebol ingleses que entraram nestes patrocínios, já que a investigação descobriu que equipes de críquete e kabaddi na Índia também entraram em acordos de patrocínio similares para anunciar marcas do Vigorish Viper.
"Vigorish Viper opera uma vasta rede de mais de 170.000 nomes de domínio ativos, evadindo detecção e aplicação da lei através do uso sofisticado de sistemas de distribuição de tráfego DNS CNAME", dizem os pesquisadores da Infoblox Maël Le Touz, Jacques Portal, Renée Burton e Elena Puga em um relatório exaustivo compartilhado com The Hacker News.
Além das apostas, os CNAME de Vigorish Viper [sistemas de distribuição de tráfego] servem sites ilegais de streaming e pornografia.
Alguns dos domínios usados para streaming são domínios registrados há muito tempo que Vigorish Viper pegou após o registro original expirar.
Burton, vice-presidente de inteligência de ameaças na Infoblox, descreveu o ator de ameaça como "uma das ameaças mais sofisticadas e importantes para a segurança digital" descobertas até hoje.
"Vigorish Viper criou uma infraestrutura complexa com múltiplas camadas de sistemas de distribuição de tráfego (TDSs) usando registros DNS CNAME e JavaScript, o que torna incrivelmente difícil detectar", disse Burton em uma declaração.
Esses sistemas são complementados por suas próprias comunicações criptografadas e aplicativos desenvolvidos sob medida, tornando suas atividades não apenas evasivas, mas também notavelmente resilientes.
Isso implica o uso de registros DNS CNAME para redirecionar o tráfego de um domínio para outro, técnica previamente adotada por outros atores de ameaça DNS como Savvy Seahorse.
Além disso, o sistema tem a capacidade de diferenciar entre endereços IP residenciais, móveis e comerciais na China.
No início de janeiro, a iniciativa Play the Game do Instituto Dinamarquês para Estudos Esportivos descobriu conexões entre dezenas de clubes de futebol europeus e marcas de apostas ilegais que podem ser rastreadas até o Yabo e direcionadas para jurisdições como a China, onde o jogo é proibido e considerado crime organizado.
Os crimes online também têm um aspecto offline envolvendo tráfico humano, no qual as pessoas são atraídas com a promessa de empregos bem remunerados e são coagidas a apoiar esquemas de apostas esportivas e promover golpes de abate de porcos e outros golpes com criptomoedas, de acordo com a Federação Asiática de Corridas (ARF).
"Operando em equipes de 8-10, alguns coordenam com comentaristas e transmissores de esportes ao vivo (presumivelmente em streams piratas) para promover grupos de bate-papo ao vivo comercializando sites de apostas durante os jogos", de acordo com um relatório [PDF] lançado pela ARF em outubro de 2023.
"Outros atuam como gerentes de relacionamento para encorajar os clientes a continuar apostando e outros como agentes diretos de recrutamento de clientes".
A Infoblox disse que sua própria investigação sobre Vigorish Viper partiu de um único domínio anômalo, kb[.]com – um site de apostas denominado KB Sports que usa nameservers chineses – que também hospeda yabo[.]com, o nome de domínio para Yabo Sports.
Um aspecto interessante a ser observado aqui é que o site está geo-bloqueado para usuários localizados na França e em outros lugares da Europa, mas é acessível a partir da China continental e das regiões administrativas especiais de Hong Kong e Macau.
"Quando visitado a partir dessas áreas, o usuário é redirecionado para outro domínio — por exemplo, kb830[.]com," os pesquisadores apontaram.
O domínio de redirecionamento muda ao longo do tempo. Além disso, toda a funcionalidade de 'clique direito' é desabilitada no site, assim como a seleção de texto, dificultando esforços para investigar ou copiar o site.
Os usuários do site são então servidos com anúncios promovendo incentivos financeiros para apostar regularmente, junto com opções para pagar usando WeChat Pay, EBpay, Alipay, JD Pay, KOIPay, AstroPay, YunShanFu, UniPay, Net Pay, Fast Pay e NetBank.
As apostas são realizadas através de agentes que colocam as apostas, gerenciam os depósitos e se comunicam com os apostadores através de aplicativos de chat criptografados e sob medida.
Um exame mais profundo dos logs de consulta DNS também revelou evidências de que as atividades do Vigorish Viper transcendem a China para mirar usuários em todo o mundo.
Algumas das outras defesas embutidas nesses sites incluem verificar periodicamente sinais de atividade automatizada e apresentar um desafio CAPTCHA para visitantes numa tentativa de evitar possíveis esforços de digitalização, ou ao tentar alcançar o suporte ao cliente, uma tarefa realizada por pessoas de verdade que foram traficadas para o Sudeste Asiático.
Isso não é tudo.
Os usuários que visitam um dos domínios de marca do Vigorish Viper são submetidos a várias rodadas de verificações de fingerprinting para validar que o endereço IP está na China e eles são legítimos, antes de lhes ser permitido apostar nos sites.
"Tanto o DNS quanto o software vinculam todo o empreendimento do Vigorish Viper ao Yabo Sports ou Grupo Yabo," disse a empresa.
Seu alcance se estende a dezenas de marcas, possivelmente centenas, e mira usuários além do Sudeste Asiático.
A despeito do número massivo de nomes de domínio, websites e aplicações acompanhantes, junto com a presença ostensiva no olho público, o Vigorish Viper está operando diretamente e inexplicavelmente na RPC sem consequências significativas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...