Pesquisadores em cibersegurança revelaram dois provedores de serviços que abastecem redes criminosas online com ferramentas e infraestrutura essenciais para impulsionar a economia do pig butchering-as-a-service (PBaaS), um modelo de golpe financeiro.
Desde pelo menos 2016, grupos criminosos de língua chinesa estabeleceram centros industriais de fraude no Sudeste Asiático, criando zonas econômicas especiais dedicadas a golpes de investimento fraudulentos e operações de impersonação.
Esses complexos abrigam milhares de pessoas atraídas pela promessa de empregos bem remunerados, mas que têm seus passaportes confiscados e são obrigadas a atuar em golpes sob ameaça de violência.
A INTERPOL classifica essas redes como fraudes em escala industrial alimentadas por tráfico humano.
Um dos principais pilares dos golpes pig butchering, também conhecidos como romance baiting, são os provedores que oferecem todas as ferramentas para gerir operações de engenharia social, facilitar a rápida lavagem de fundos roubados em criptomoedas e transferir os recursos ilícitos para contas inacessíveis às autoridades.
Segundo reportagem da Infoblox, publicada na última semana, grandes complexos fraudulentos como a Golden Triangle Economic Zone (GTSEZ) utilizam aplicativos prontos e templates oferecidos pelos fornecedores de PBaaS.
Antes, esses golpes demandavam alto conhecimento técnico ou investimentos em infraestrutura física, mas hoje são vendidos como serviços completos, incluindo identidades roubadas, empresas de fachada, plataformas turnkey e apps móveis, o que reduz drasticamente a barreira para iniciar esses esquemas.
Entre os fornecedores identificados, destaca-se o Penguin Account Store — também conhecido como Heavenly Alliance ou Overseas Alliance — que opera no modelo crimeware-as-a-service (CaaS).
Esse grupo comercializa kits de fraude, templates de golpes e conjuntos de dados com informações pessoais roubadas de cidadãos chineses.
Além disso, vende credenciais de contas em plataformas populares como Twitter, Tinder, YouTube, Snapchat, Facebook, Instagram, Apple Music, ChatGPT, Spotify e Netflix, entre outras.
Acredita-se que esses dados sejam obtidos por meio de logs de roubo de informações vendidos na dark web, mas não está claro se esses agentes desenvolvem as ferramentas de captura ou atuam apenas como intermediários.
O preço para contas sociais pré-registradas começa em US$ 0,10, variando conforme data e autenticidade.
O Penguin também oferece cartões SIM pré-registrados em massa, contas roubadas, roteadores 4G/5G, IMSI catchers e pacotes de imagens furtadas, usados para atrair vítimas.
Além disso, desenvolveu uma plataforma de Social Customer Relationship Management (SCRM) chamada SCRM AI, que automatiza o engajamento dos alvos nas redes sociais.
O grupo divulga ainda o BCD Pay, plataforma de pagamento anônima peer-to-peer (P2P), vinculada ao Bochuang Guarantee, muito utilizada em apostas online ilegais, similar ao HuiOne.
Outro serviço chave no ecossistema PBaaS são as plataformas de gestão de relacionamento com clientes (CRM), que centralizam o controle de vários agentes.
A UWORK, fornecedora de ferramentas para gerenciamento de conteúdo e agentes, oferece templates prontos para criar sites de golpes de investimento.
Muitos sites simulam integração com plataformas legítimas, como MetaTrader, exibindo informações financeiras em tempo real para conferir maior credibilidade.
Esses sites possuem painéis Know Your Customer (KYC), que obrigam as vítimas a enviar documentos de identidade.
Um painel administrativo permite controlar toda a operação, criar perfis de agentes que lidam diretamente com as vítimas e monitorar métricas de lucro, e-mails, chats, entre outros.
Segundo a Infoblox, a gestão desses agentes é complexa, com possibilidade de membros serem afiliados uns dos outros.
Fornecedores de PBaaS também oferecem apps móveis para Android e iOS distribuídos via arquivos APK e por meio de programas de testes para burlar os controles das lojas oficiais.
Alguns lançam os apps diretamente nas lojas, disfarçando-os como aplicativos inofensivos de notícias e liberando o painel de negociação somente após o usuário digitar uma senha específica.
Modelos de sites com hospedagem podem custar a partir de US$ 50.
Um pacote completo, incluindo site com acesso administrativo, hospedagem em VPS, app móvel, acesso à plataforma de trading, empresa de fachada em paraíso fiscal e registro em órgãos regulatórios locais, pode custar cerca de US$ 2.500.
Os pesquisadores Maël Le Touz e John Wòjcik afirmam que “sindicatos criminosos asiáticos sofisticados criaram uma economia subterrânea global a partir de seus refúgios no Sudeste Asiático” e que o PBaaS facilita a expansão dessas operações com baixo custo e esforço.
Além disso, um estudo recente da Infoblox aponta que a maioria dos domínios estacionados — nomes expirados, dormentes ou erros de digitação relacionados a sites populares (typosquatting) — é usada para redirecionar visitantes a sites fraudulentos e com malware.
O redirecionamento é seletivo: visitantes que acessam via VPN visualizam páginas normais, enquanto usuários com IP residencial são levados a golpes ou malwares.
O sistema utiliza técnicas de geolocalização, fingerprinting de dispositivos e cookies para criar perfis e identificar para onde redirecionar o usuário.
Em testes, mais de 90% dos acessos a domínios estacionados levaram a conteúdos ilegais, golpes ou malwares, embora o material exibido não tenha relação com o domínio visitado.
Nos últimos meses, também foi detectado o uso crescente do toolkit de phishing Evilginx, um adversary-in-the-middle (AitM), responsável por ataques a pelo menos 18 universidades e instituições educacionais dos EUA desde abril de 2025.
São mais de 67 domínios ligados às campanhas, que buscam roubar credenciais e cookies de sessão.
A Infoblox destaca que as técnicas de evasão do Evilginx dificultam sua detecção, empregando certificados TLS wildcard, filtragem sofisticada de bots, páginas de distração, integração aprimorada com provedores DNS como Cloudflare e DigitalOcean, suporte a múltiplos domínios e ofuscação em JavaScript.
À medida que o Evilginx evolui, identificar seus URLs de phishing torna-se cada vez mais desafiador.
Por fim, pesquisadores da Malanta revelaram uma infraestrutura massiva com mais de 328 mil domínios e subdomínios — dos quais 236 mil relacionados a jogos de azar — ativa desde pelo menos 2011.
Acredita-se que seja uma operação dupla patrocinada por um grupo de Estado-nação, com foco em vítimas dos EUA, Europa e Sudeste Asiático, especialmente falantes de indonésio.
Essa rede envolve exploração sistemática de WordPress, componentes PHP, DNS mal configurado e recursos expirados na nuvem para sequestrar domínios confiáveis.
Também hospeda um vasto ecossistema de malware Android via buckets AWS S3, usados para distribuir APKs maliciosos com funcionalidades de comando e controle e roubo de dados.
Os operadores usam redes sociais e apps de mensagens instantâneas para promover os sites de jogos e estimular a instalação dos apps.
Cerca de 7.700 domínios foram associados a pelo menos 20 buckets AWS S3 que hospedam esses arquivos APK.
Alguns aspectos da operação já haviam sido apontados anteriormente pela Imperva e Sucuri, que acompanharam campanhas de spam de cassinos online e substituição de páginas legítimas em sites comprometidos.
A complexidade e a longevidade indicam possível manutenção por um APT (Advanced Persistent Threat) profundamente inserido no cibercrime indonésio, explorando também ativos virtuais governamentais globalmente.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...