wmtech logo

Expertos descubren una red de delincuencia cibernética china detrás de actividades de juego y tráfico de personas

Luis Quiles
Luis Quiles
julio 25, 2024
aa
Ciber crimen, Seguridad Cibernética

Una red de crimen organizado china, vinculada al lavado de dinero y la trata de personas en el sudeste asiático, ha estado utilizando un «conjunto de tecnologías» avanzado que abarca todo el espectro de la cadena de suministro de ciberdelincuencia para impulsar sus operaciones.

Infoblox está rastreando al propietario y mantenedor bajo el seudónimo de Vigorish Viper, señalando que probablemente es sinónimo del Grupo Yabo (también conocido como Yabo Sports), el cual ha sido vinculado a operaciones de juego ilegal y estafas de «pig butchering» en el pasado. A finales de 2022, se rebrandeó como Kaiyun Sports y desde entonces ha sido absorbido por otra entidad recién formada llamada Ponymuah.

El conjunto de tecnologías, comercializado en China como «baowang» («包网,» que significa paquete completo), incluye varios componentes como configuraciones de Sistema de Nombres de Dominio (DNS), alojamiento de sitios web, mecanismos de pago, publicidad y aplicaciones móviles. También alberga miles de nombres de dominio y numerosas marcas en una infraestructura vinculada a Hong Kong y China.

La operación se basa en asegurar patrocinios de clubes de fútbol europeos utilizando empresas de fachada o marcas de etiqueta blanca, y utilizarlas como un «multiplicador de fuerza» para publicitar sitios de apuestas ilegales en la región con el objetivo de atraer más apostadores. En julio de 2023, se informó que los logotipos de compañías de apuestas aparecieron hasta 3,500 veces durante el transcurso de un partido de fútbol televisado.

Yabo, Ponymuah y otros derivados relacionados como OB (también conocido como OBGM), DB Gaming, Panda Sports, KM Gaming y Smart King Games (SKG) son todos parte de la extensa red de Vigorish Viper, destacando la complicada y opaca propiedad de las compañías de juego y los meticulosos pasos tomados para eludir el escrutinio.

No solo los clubes de fútbol inglés han participado en estos patrocinios; la investigación ha revelado que equipos de críquet y kabaddi en India también han firmado acuerdos de patrocinio similares para publicitar las marcas de Vigorish Viper.

«Vigorish Viper opera una vasta red de más de 170,000 nombres de dominio activos, evadiendo la detección y la aplicación de la ley a través de su uso sofisticado de sistemas de distribución de tráfico DNS CNAME», señalaron los investigadores de Infoblox, Maël Le Touz, Jacques Portal, Renée Burton y Elena Puga, en un informe exhaustivo compartido con The Hacker News.

«Además de juegos de azar, los sistemas de distribución de tráfico CNAME de Vigorish Viper también sirven sitios de streaming ilegal y pornografía. Algunos de los dominios utilizados para streaming son dominios registrados hace mucho tiempo que Vigorish Viper adquirió después de que expirara el registro original.»

Burton, vicepresidente de inteligencia de amenazas en Infoblox, describió al actor de amenaza como «una de las amenazas más sofisticadas e importantes para la seguridad digital» descubiertas hasta la fecha.

2
Una visión general del esquema de patrocinio deportivo de Vigorish Viper

«Vigorish Viper creó una infraestructura compleja con múltiples capas de sistemas de distribución de tráfico (TDS) utilizando registros DNS CNAME y JavaScript, lo que hace increíblemente difícil de detectar», dijo Burton en un comunicado. «Estos sistemas se complementan con sus propias comunicaciones encriptadas y aplicaciones desarrolladas a medida, lo que hace que sus actividades no solo sean elusivas, sino también notablemente resistentes».

En el centro de esta operación sigilosa se encuentra el uso de registros DNS CNAME para redirigir el tráfico de un dominio a través de otro, una técnica previamente adoptada por otros actores de amenazas DNS como Savvy Seahorse. Además, el sistema tiene la capacidad de diferenciar entre direcciones IP residenciales, móviles y comerciales en China.

A principios de enero, la iniciativa Play the Game del Instituto Danés de Estudios Deportivos descubrió conexiones entre docenas de clubes de fútbol europeos y marcas de apuestas ilegales que se pueden rastrear hasta Yabo, dirigidas a jurisdicciones como China, donde el juego está prohibido y se considera un crimen organizado.

Los delitos en línea también tienen un aspecto offline que involucra la trata de personas, donde se atrae a personas con la promesa de trabajos bien remunerados y se las coacciona para apoyar esquemas de apuestas deportivas y promover estafas de «pig butchering» y otras estafas de criptomonedas, según la Federación Asiática de Carreras (ARF).

«Operando en equipos de 8-10 personas, algunos coordinan con comentaristas y locutores de deportes en vivo (presumiblemente en transmisiones pirata) para promover grupos de chat en vivo que comercializan sitios web de apuestas durante los juegos,» según un informe [PDF] publicado por la ARF en octubre de 2023. «Otros actúan como gerentes de relaciones para alentar a los clientes a seguir apostando y otros como agentes de reclutamiento directo de clientes.»

3 1
Pasos entre cuando un usuario visita un sitio y comienza a realizar apuestas

Infoblox afirmó que su investigación sobre Vigorish Viper se originó a partir de un solo dominio anómalo, kb[.]com, un sitio de apuestas llamado KB Sports que utiliza servidores de nombres chinos y que también aloja yabo[.]com, el nombre de dominio de Yabo Sports.

Un aspecto interesante a destacar es que el sitio web está bloqueado geográficamente para usuarios ubicados en Francia y otras partes de Europa, pero es accesible desde China continental y las regiones administrativas especiales de Hong Kong y Macao.

«Cuando se visita desde una de esas áreas, el usuario es redirigido a otro dominio, por ejemplo, kb830[.]com», señalaron los investigadores. «El dominio de redirección cambia con el tiempo. Además, toda la funcionalidad de ‘clic derecho’ está deshabilitada en el sitio, al igual que la selección de texto, lo que dificulta los esfuerzos para investigar o copiar el sitio».

A los usuarios del sitio web se les muestran anuncios que promueven incentivos financieros para apostar regularmente, junto con opciones para pagar utilizando WeChat Pay, EBpay, Alipay, JD Pay, KOIPay, AstroPay, YunShanFu, UniPay, Net Pay, Fast Pay y NetBank. Las apuestas se realizan a través de agentes, quienes colocan las apuestas, gestionan los depósitos y se comunican con los apostadores a través de aplicaciones de chat encriptadas y personalizadas.

Un examen más profundo de los registros de consultas DNS también ha revelado evidencia de que las actividades de Vigorish Viper trascienden China para dirigirse a usuarios en todo el mundo.

Algunos de los otros mecanismos de defensa incorporados en estos sitios incluyen la verificación periódica de señales de actividad automatizada y la presentación de un rompecabezas CAPTCHA para los visitantes, en un intento de evitar posibles esfuerzos de escaneo. Cuando intentan contactar con el soporte al cliente, la tarea es realizada por personas reales que han sido traficadas al sudeste asiático.

Además, los usuarios que visitan uno de los dominios de la marca Vigorish Viper son sometidos a múltiples rondas de verificaciones de huellas digitales para validar que la dirección IP esté en China y que sean usuarios legítimos, antes de que se les permita apostar en los sitios.

«Tanto el DNS como el software vinculan toda la empresa de Vigorish Viper a Yabo Sports o Yabo Group», afirmó la empresa. «Su alcance se extiende a docenas de marcas, posiblemente cientos, y apunta a usuarios más allá del sudeste asiático».

«A pesar del número masivo de nombres de dominio, sitios web y aplicaciones asociadas, junto con una presencia visible en la opinión pública, Vigorish Viper opera directamente e inexplicablemente en la República Popular China sin consecuencias significativas».

Tags :

apuestas, hack, hackers, tráfico humano

Comparte este artículo :

Descubre los últimos artículos del blog sobre seguridad cibernética