En mayo de 2025, el gobierno de los Estados Unidos sancionó a un nacional chino para la operación de un proveedor de la nube vinculado a la mayoría de la Web para la inversión en monedas virtuales reportadas al FBI. Pero un nuevo informe revela que el acusado continúa explotando una multitud de cuentas establecidas en empresas tecnológicas estadounidenses, incluidas Facebook, Github, Paypal Y Twitter / X.
El 29 de mayo, el Departamento del Tesoro de los Estados Unidos anunciado sanciones económicas contra Funnull Technology Inc.Una compañía con sede en Filipinas ha dejado de proporcionar infraestructura a cientos de miles de sitios web involucrados en estafas de inversión en monedas virtuales llamadas “carnicero de cerdo”. En enero de 2025, Krebssonsecurity detalló cómo Funnull era como una red de entrega de contenido que se dirigió a los ciberdelincuentes extranjeros que buscaban transportar su tráfico a través de proveedores de la nube con sede en los Estados Unidos.
El Tesoro también sancionó al presunto operador de Funnull, un nacional chino de 40 años llamado Liu “Steve” Lizhi. El gobierno afirma que Funnull facilitó directamente los regímenes financieros, lo que resultó en más de $ 200 millones en pérdidas financieras de los estadounidenses y que las operaciones de la compañía estaban vinculadas a la mayoría de las estafas de cerdos reportadas al FBI.
Generalmente es ilegal que las empresas o las personas estadounidenses se transformen con las personas sancionadas por el Tesoro. Sin embargo, como el caso del caso del Sr. Lizhi, no es porque alguien sea sancionado no necesariamente significa que las grandes compañías tecnológicas suspenderán sus cuentas en línea.
El gobierno dice que Lizhi nació el 13 de noviembre de 1984 y usó apodos “Xxl4” Y “Bonito lizhi. “Sin embargo, el relato de Steve Liu, de 17 años, en LinkedIn (en el nombre de” liulizhi “) tenía cientos de seguidores (el perfil de LinkedIn de Lizhi confirma útilmente su cumpleaños) hasta hace poco: la cuenta se eliminó esta mañana, solo unas horas después de que Krebssonecury solicitó comentarios de LinkedIn.
La cuenta de LinkedIn del Sr. Lizhi ha sido suspendida en las últimas 24 horas después de que Krebssonsecurity solicitó comentarios de LinkedIn.
En una respuesta por correo electrónico, un portavoz de LinkedIn dijo que la compañía “Política de país prohibida“Firmar que LinkedIn” no se vende, descarta, no admite o no pone a disposición de su prima u otras cuentas pagado Productos y servicios a individuos y empresas sancionadas por el gobierno de los Estados Unidos. LinkedIn se negó a decir si el perfil en cuestión era una cuenta premium o gratuita.
El Sr. Lizhi también mantiene Una cuenta de PayPal funcional bajo el nombre de Liu Lizhi y el nombre de usuario “@Nicelizhi», Otro apodo enumerado en las sanciones del Tesoro. PayPal no respondió a una solicitud de comentarios. Un hombre de 15 años Cuenta de Twitter / X llamada “Lizhi” Este enlace al campo personal del Sr. Lizhi permanece activo, aunque tiene poco seguidores y no ha publicado durante años.
Estas cuentas y muchas otras han sido reportadas por la compañía de seguridad. Silenciosoquien siguió a las operaciones funnull en el último año y ha llamado a proveedores de nubes estadounidenses como Amazonas Y Microsoft Para no haber roto los enlaces con la compañía más rápidamente.
Cuenta de Liu Lizhi PayPal.
En un informe Lanzado hoy, Silent Push descubrió que Lizhi todavía opera muchas cuentas y grupos de Facebook, incluida una cuenta privada de Facebook bajo el nombre de Liu Lizhi. Otra cuenta de Facebook activa claramente conectada a Lizhi es una página turística para Ganzhou, llamó China “Disfrutar“Esto fue designado en las sanciones del Departamento del Tesoro.
“Este tipo es el administrador técnico de la infraestructura que agradece a la mayoría de las estafas dirigidas a personas en los Estados Unidos, y cientos de millones se han perdido de acuerdo con los sitios web que alberga”, dijo Zach EdwardsInvestigador principal en la amenaza de empuje silencioso. “Es una locura que la gran mayoría de las grandes compañías tecnológicas no hayan hecho nada para reducir los vínculos con este tipo”.
El FBI dijo que recibió casi 150,000 quejas el año pasado que involucraron activos digitales y $ 9.3 mil millones en pérdidas, un aumento del 66% en comparación con el año anterior. Las estafas de inversión fueron los mejores crímenes relacionados con la criptografía, con $ 5.8 mil millones en pérdidas.
En un comunicado, un portavoz de Meta dijo que la compañía continuamente tomó medidas para cumplir con sus obligaciones legales, pero que las leyes de sanciones son complejas y variadas. Explicaron que las sanciones a menudo son atacadas en la naturaleza y no siempre prohíben a las personas tener presencia en su plataforma. Sin embargo, Meta confirmó que había eliminado la cuenta, las páginas no publicadas y eliminadas de grupos y eventos asociados con el usuario por haber violado sus políticas.
Intente comunicarse con el Sr. Lizhi a través de sus direcciones de correo electrónico principales en Hotmail Y Gmail rebotado como no revisable. Del mismo modo, su hijo de 14 años YouTube Channel parece haber sido eliminado recientemente.
Sin embargo, cualquier persona interesada en visualizar o usar los estándares de código de TI 146 del Sr. Lizhi no tendrá problemas para encontrar cuentas de GitHub activas para él, incluidos un registrado bajo los apodos de NiCelizhi y XXL4 mencionados en las sanciones del Tesoro.
Uno de los múltiples perfiles activos de GitHub utilizados por Liu “Steve” Lizhi, que usa el apodo XXL4 (un apodo enumerado en las sanciones del Tesoro para el Sr. Lizhi).
El Sr. Lizhi también opera una página de GitHub para una plataforma de comercio electrónico de código abierto llamada NexamerchantLo que promete ser una pasarela de pago que trabaja con muchas instituciones financieras estadounidenses. Interesante, este perfil es Página de “suscriptores” Muestra varias otras cuentas que parecen ser el Sr. Lizhi. Todos los suscriptores de la cuenta están etiquetados como “suspendidos”, incluso si este mensaje suspendido no se muestra cuando se visitan estos perfiles individuales.
En respuesta a las preguntas, Github dijo que tenía un proceso para identificar cuándo los usuarios y los clientes son nacionales especialmente designados u otras partes denegadas o bloqueadas, pero que bloquea estas cuentas en lugar de eliminarlas. Según su política, Github se encarga de que los usuarios y los clientes no se vean afectados más allá de lo que requiere la ley.
Todos los seguidores explican que la cuenta XXL4 GitHub parece ser del Sr. Lizhi y han sido suspendidas por GitHub, pero su código siempre es accesible.
“Esto incluye la conservación de los estándares públicos, incluidos los de proyectos de código abierto, disponibles y accesibles para apoyar las comunicaciones personales que involucran a los desarrolladores en regiones sancionadas”, dijo Policy. “También significa que Github argumentará a los desarrolladores en las regiones sancionadas para disfrutar de un mejor acceso a la plataforma y al acceso completo a la comunidad global de código abierto”.
Edwards dijo que es genial que Github tenga un proceso de gestión de cuentas sancionado, pero que el proceso no parece comunicar los riesgos de manera transparente, señalando que el único indicador en las cuentas bloqueadas es el mensaje: “Este repositorio ha sido archivado por el propietario. No está leyendo solo”.
“Es un mensaje extraño que no se comunica”, es una entidad sancionada, no gasta este código y no lo usa en un entorno de producción “, dijo Edwards.
Mark Rasch es un ex fiscal federal de delitos cibernéticos que ahora es abogado de la compañía de consultoría de seguridad de Nueva York Unidad 221B. Rasch dijo que cuando el control de los activos extranjeros del Tesoro (OFAC) sanciona a una persona o una entidad, se vuelve ilegal que las empresas u organizaciones se transformen con la parte sancionada.
Rasch dijo que las instituciones financieras tienen sistemas muy maduros para la separación de cuentas relacionadas con las personas que están sujetas a las sanciones de OFAC, pero que las compañías tecnológicas pueden ser mucho menos proactivas, en particular con cuentas libres.
“Los bancos han establecido formas de verificar [U.S. government sanctions lists] Para las entidades castigadas, pero las compañías tecnológicas no necesariamente hacen un buen trabajo con esto, especialmente para los servicios que simplemente puede hacer clic y registrarse “, dijo Rasch”. Es potencialmente un riesgo y responsabilidad para las compañías tecnológicas involucradas, pero solo en la medida en que el OFAC está dispuesto a aplicarlo. “
Liu Lizhi opera muchas cuentas y grupos activos de Facebook, incluida esto para una entidad especificada en la página turística de Sofac Sancions: “Aproveche Ganzhou” para Ganzhou, China. Imagen: Push silencioso.
En julio de 2024, Funnull compró la finca PolyFill[.]IO, la casa de larga data de un proyecto de código abierto legítimo que ha habilitado los sitios web para garantizar que los dispositivos que usan navegadores heredados siempre puedan hacer contenido en formatos más recientes. Después de que el Domaine Polyfill cambió de manos, al menos 384,000 sitios web fueron Tomado en un ataque de la cadena de suministro Esto ha redirigido a los visitantes a sitios maliciosos. Según el Tesoro, Funnull utilizó el código para redirigir a las personas a sitios de estafa y sitios de juegos en línea, algunos de los cuales estaban vinculados a las operaciones chinas de lavado de dinero criminal.
El gobierno estadounidense dice que Funnull proporciona nombres de dominio para sitios web en sus direcciones IP compradas, utilizando algoritmos de generación de dominio (DGA), programas que generan una gran cantidad de nombres similares pero únicos para sitios web, y que vende modelos de diseño web a ciberdulinales.
“Estos servicios no solo facilitan a los ciberdelincuentes para fingir que sean marcas de confianza al crear sitios web de estafas, sino que también les permiten cambiar rápidamente a diferentes nombres de dominio y direcciones IP cuando los proveedores legítimos intentan eliminar sitios web”, dice una declaración del Tesoro.
Mientras tanto, Funnull parece transformar casi todos los aspectos de sus actividades después de las sanciones, dijo Edwards.
“Si bien antes, podrían haber usado 60 dominios DGA para esconderse y traer de vuelta su tráfico, vemos mucho más ahora”, dijo. “Intentan hacer que su infraestructura sea más difícil de seguir y más complicada, por lo que por el momento no desaparecen, pero más simplemente cambiar lo que están haciendo. Y muchas más organizaciones deberían mantener el fuego en llamas”.
Actualización, 2:48 PM HE: Agregando la respuesta de Meta, quien confirmó que había cerrado las cuentas y grupos vinculados al Sr. Lizhi.