 |
| La relación entre los diferentes TDS y DNS asociados a Vigorish Viper y la experiencia de aterrizaje final para el usuario |
Un sindicato del crimen organizado chino vinculado al lavado de dinero y la trata de personas en el sudeste asiático utiliza un ‘conjunto tecnológico’ avanzado que gestiona toda la cadena de suministro del ciberdelito para llevar a cabo sus operaciones.
Infoblox es hacer un seguimiento el propietario y mantenedor bajo el nombre Víbora vigorosaseñalando que es desarrollado por Yabo Group (también conocido como Yabo Sports), que ha sido vinculado con operaciones de juego ilegales y estafas de matanza de cerdos en el pasado. A finales de 2022, pasó a llamarse Kaiyun Sports y desde entonces ha sido absorbido por otra entidad recién formada llamada Ponymuah.
La suite, comercializada en China con el nombre “baowang” (“包网”, que significa paquete completo), incluye varios componentes como configuraciones DNS (Domain Name System), alojamiento de sitios web, mecanismos de pago, publicidad y aplicaciones móviles. También alberga miles de nombres de dominio y numerosas marcas en infraestructuras vinculadas a Hong Kong y China.
La empresa depende de la obtención de patrocinios de clubes de fútbol europeos utilizando empresas fachada o marcas blancas, y utilizándolas como “multiplicador de fuerza” para publicitar sitios de apuestas ilegales en la región en un intento por atraer a más apostadores. En julio de 2023, fue reportado que los logotipos de las empresas de apuestas aparecieron hasta 3.500 veces durante un partido de fútbol televisado.
Yabo, Ponymuah y otras ramas relacionadas como OB (también conocido como OBGM), DB Gaming, Panda Sports, KM Gaming y Smart King Games (SKG) son parte de la vasta red de Vigorish Viper, lo que pone de relieve la compleja y oscura propiedad de las compañías de juego y la cuidadosa medidas adoptadas para evitar el escrutinio.
Los clubes de fútbol ingleses no son los únicos que recurren a este tipo de patrocinios, ya que la investigación reveló que los equipos de cricket y kabaddi de la India también han celebrado acuerdos de patrocinio similares para promover las marcas Vigorish Viper.
“Vigorish Viper opera una vasta red de más de 170.000 nombres de dominio activos, evadiendo la detección y la aplicación de la ley mediante su uso sofisticado de sistemas de distribución de tráfico DNS CNAME”, dijeron los investigadores de Infoblox Maël Le Touz, Jacques Portal, Renée Burton y Elena Puga. Informe exhaustivo compartido con The Hacker News.
“Además de los juegos de azar, el CNAME de Vigorish Viper [traffic distribution systems] “Estos sitios ofrecen sitios de pornografía y transmisión ilegal. Algunos de los dominios utilizados para la transmisión son dominios registrados desde hace mucho tiempo que Vigorish Viper asumió después de que expiró el registro original”.
Burton, vicepresidente de inteligencia de amenazas de Infoblox, describió al actor de amenazas como “una de las amenazas de seguridad digital más sofisticadas e importantes” descubiertas hasta la fecha.
 |
| Una descripción general del programa de patrocinio deportivo Vigorish Viper |
“Vigorish Viper ha creado una infraestructura compleja con múltiples capas de sistemas de distribución de tráfico (TDS) utilizando registros DNS CNAME y JavaScript, lo que hace que sea increíblemente difícil de detectar”, dijo Burton en un comunicado. “Estos sistemas se complementan con sus propias comunicaciones cifradas y aplicaciones desarrolladas a medida, lo que hace que sus actividades no sólo sean esquivas sino también notablemente resistentes. »
Esto implica el uso de Registros DNS CNAME para redirigir el tráfico de un dominio a otro, una técnica previamente adoptada por otros actores de amenazas DNS como Savvy Seahorse. Además, el sistema tiene la capacidad de diferenciar entre direcciones IP residenciales, móviles y comerciales en China.
A principios de enero, la iniciativa Play the Game del Instituto Danés de Estudios Deportivos descubierto Conexiones entre docenas de clubes de fútbol europeos y marcas de juegos de azar ilegales que se remontan a Yabo y apuntan a jurisdicciones como China, donde el juego está prohibido y se considera un crimen organizado.
Los delitos en línea también tienen un aspecto fuera de línea que involucra trata de personas en el que las personas se sienten atraídas por la promesa de empleos bien remunerados y se las obliga a apoyar esquemas de apuestas deportivas y promover estafas de matanza de cerdos y otras estafas vinculadas a las criptomonedas, según la Federación Asiática de carreras de caballos (ARF).
“Al operar en equipos de 8 a 10 personas, algunos se coordinan con comentaristas deportivos en vivo y locutores (presumiblemente en transmisiones piratas) para promover grupos de chat en vivo que comercializan sitios de apuestas durante los partidos”, según uno relación [PDF] publicado por la ARF en octubre de 2023. “Otros actúan como gestores de relaciones para animar a los clientes a seguir apostando y otros como agentes para la captación directa de clientes. »
 |
| Etapas entre el momento en que un usuario visita un sitio y el momento en que comienza a realizar apuestas |
Infoblox dijo que su propia investigación sobre Vigorish Viper provino de un único dominio anómalo, kb.[.]com – un sitio de juegos llamado KB Sports que utiliza servidores de nombres chinos – que también alberga yabo[.]com, el nombre de dominio de Yabo Sports.
Un aspecto interesante a tener en cuenta aquí es que el sitio web está bloqueado geográficamente para usuarios ubicados en Francia y otras partes de Europa, pero se puede acceder a él desde China continental y las regiones administrativas especiales de Hong Kong y Macao.
“Cuando se visita desde una de estas zonas, el usuario es redirigido a otro dominio, por ejemplo, kb830[.]“com”, señalaron los investigadores. “El dominio de redireccionamiento cambia con el tiempo. Además, toda la funcionalidad de ‘clic derecho’ está deshabilitada en el sitio, al igual que la selección de texto, lo que dificulta los esfuerzos para investigar o copiar el sitio”.
Luego, los usuarios del sitio web reciben anuncios que promocionan incentivos financieros para apostar regularmente, así como opciones de pago a través de WeChat Pay, EBpay, Alipay, JD Pay, KOIPay, AstroPay, YunShanFu, UniPay, Net Pay, Fast Pay y NetBank. Las apuestas se realizan a través de agentes, que realizan apuestas, administran depósitos y se comunican con los jugadores a través de aplicaciones de chat cifradas personalizadas.
Una mirada más cercana a los registros de consultas de DNS también reveló evidencia de que las actividades de Vigorish Viper se extienden más allá de China y se dirigen a usuarios de todo el mundo.
Algunos de los otros mecanismos de defensa integrados en estos sitios incluyen la verificación periódica de signos de actividad automatizada y el suministro de un rompecabezas CAPTCHA a los visitantes en un intento de evitar posibles esfuerzos analíticos, o cuando intentan comunicarse con el servicio de atención al cliente, una tarea realizada por personas reales. que han sido objeto de trata en el Sudeste Asiático.
No es todo. Los usuarios que visitan uno de los dominios de la marca Vigorish Viper se someten a varias rondas de controles de huellas dactilares para validar que la dirección IP esté en China y que sean legítimas, antes de que se les permita apostar en los sitios.
“El DNS y el software conectan toda la empresa Vigorish Viper con Yabo Sports o Yabo Group”, dijo la compañía. “Su alcance se extiende a docenas de marcas, quizás cientos, y se dirige a usuarios más allá del sudeste asiático. »
“A pesar de la gran cantidad de nombres de dominio, sitios web y aplicaciones asociadas, así como de su notoria presencia ante el público, Vigorish Viper opera directa e inexplicablemente en la República Popular China sin consecuencias significativas. »