Los investigadores de ciberseguridad han arrojado luz sobre dos proveedores de servicios que suministran a las redes criminales en línea las herramientas y la infraestructura necesarias para impulsar la economía de la matanza de cerdos como servicio (PBaaS).
Al menos desde 2016, los grupos criminales de habla china han erigido centros de estafa a escala industrial en todo el sudeste asiático, creando zonas económicas especiales que son dedicado a operaciones fraudulentas de inversión y suplantación de identidad.
Estos compuestos albergan a miles de personas que atraído con la promesa de empleos bien remunerados, sólo para tener sus pasaportes y verse obligados a realizar estafas bajo amenaza de violencia. INTERPOL ha caracterizado estas redes como fraude a escala industrial impulsado por la trata de personas.
Uno de los impulsores cruciales de las estafas de matanza de cerdos (también conocida como cebo romántico) son los proveedores de servicios que suministran a las redes todas las herramientas para ejecutar y gestionar operaciones de ingeniería social, así como para lavar rápidamente fondos y criptomonedas robados y transferir ganancias obtenidas ilícitamente a cuentas a las que las autoridades no pueden acceder.
«Los grandes complejos fraudulentos, como la Zona Económica del Triángulo Dorado (GTSEZ), ahora utilizan aplicaciones y plantillas listas para usar de proveedores de PBaaS», Infoblox dicho en un informe publicado la semana pasada.
«Para agravar aún más la situación, lo que antes requería experiencia técnica o un desembolso para infraestructura física, ahora se puede comprar como un servicio disponible que ofrece de todo, desde identidades robadas y empresas fachada hasta plataformas de estafa llave en mano y aplicaciones móviles, lo que reduce drásticamente la barrera de entrada».
Se ha descubierto que estos servicios ofrecen paquetes completos y kits de fraude que sientan las bases para lanzar operaciones de estafa en línea escalables sin mucho esfuerzo. Uno de esos actores de amenazas es Penguin Account Store, que también se conoce con los nombres Heavenly Alliance y Overseas Alliance.
Penguin opera bajo un modelo de crimeware como servicio (CaaS), kits de fraude publicitario, plantillas de estafa y conjuntos de datos «shè gōng kù» que comprenden información personal robada perteneciente a ciudadanos chinos. El grupo también vende datos de cuentas de varias plataformas de medios populares como Twitter, Tinder, YouTube, Snapchat, Facebook, Instagram, Apple Music, OpenAI ChatGPT, Spotify y Netflix, entre otras.
Se cree que estas credenciales probablemente se obtengan a través de registros de robo de información vendidos en la web oscura. Pero actualmente no se sabe si ellos mismos operan a los ladrones o si simplemente actúan como intermediarios de datos robados para otros actores de amenazas. Los precios para cuentas de redes sociales prerregistradas comienzan desde solo $0,10 y aumentan de valor según la fecha de registro y la autenticidad.
Penguin también proporciona tarjetas SIM prerregistradas en masa, cuentas de redes sociales robadas, enrutadores 4G o 5G, receptores IMSI y paquetes de imágenes robadas (también conocidos como conjuntos de caracteres) que se utilizan para atrapar a las víctimas. Además de estos, el actor de amenazas ha desarrollado una plataforma de gestión social de las relaciones con los clientes (SCRM) denominada SCRM AI para permitir a los operadores de estafas facilitar la participación automatizada de las víctimas en las redes sociales.
«El actor de amenazas también anuncia BCD Pay, una plataforma de procesamiento de pagos. BCD Pay, que se vincula directamente con la Garantía Bochuang (博创担保自), es una solución anónima de igual a igual (P2P) al estilo HuiOnecon profundas raíces en el espacio ilegal de los juegos de azar en línea».
Una segunda categoría de servicio que es fundamental para la economía PBaaS son las plataformas de gestión de relaciones con el cliente (CRM), que proporcionan control centralizado sobre varios agentes individuales. UWORK, un vendedor de contenido y herramientas de gestión de agentes, proporciona plantillas prediseñadas para crear sitios web fraudulentos de inversiones. Muchas ofertas fraudulentas también afirman tener integración con plataformas comerciales legítimas como MetaTrader para dar a los sitios una apariencia de confianza al mostrar información financiera en tiempo real.
Estos sitios web también vienen equipados con un panel Conozca a su cliente (KYC) que requiere que las víctimas carguen una prueba de su identidad. Un administrador configura la configuración de los sitios web a través de un panel dedicado, lo que les otorga una vista de alto nivel de toda la operación, junto con la capacidad de crear perfiles para agentes, que probablemente interactúen con las víctimas.
 |
| Panel para agregar una nueva cuenta de víctima y asignarle un agente directo |
«El panel de administración ofrece todo lo necesario para ejecutar una operación de matanza de cerdos. Múltiples plantillas de correo electrónico, gestión de usuarios, gestión de agentes, métricas de rentabilidad, así como registros de chat y correo electrónico», dijo Infoblox. «La gestión de agentes es muy compleja y los agentes pueden incluso estar afiliados entre sí».
También se ha descubierto que los proveedores de PBaaS proporcionan aplicaciones móviles para Android e iOS distribuyéndolas en forma de archivos APK e inscribiendo un número limitado de dispositivos Apple en un programa de pruebas para eludir los controles de la tienda de aplicaciones.
Algunos actores de amenazas han ido un paso más allá y han optado por lanzar dichas aplicaciones directamente en los mercados de aplicaciones, mientras ocultan su funcionalidad haciéndose pasar por aplicaciones de noticias aparentemente inofensivas. El panel de operaciones se muestra solo cuando un usuario ingresa una contraseña específica en la barra de búsqueda.
Las plantillas de sitios web que incluyen alojamiento pueden costar tan solo 50 dólares. Un paquete completo, que incluye un sitio web con acceso de administrador, alojamiento VPS, aplicación móvil, acceso a una plataforma comercial, constitución de una empresa fachada en un paraíso fiscal para enmascarar sus actividades y registro ante el regulador financiero local correspondiente, puede comenzar en alrededor de $2,500.
«Los sofisticados sindicatos del crimen asiático han creado una economía sumergida global desde sus refugios seguros en el sudeste asiático», dijeron los investigadores Maël Le Touz y John Wòjcik. «PBaaS proporciona los mecanismos para escalar una operación con relativamente poco esfuerzo y costo».
Dominios estacionados como conducto para estafas y malware
La divulgación se produce en el contexto de un nuevo estudio de la firma de inteligencia de amenazas DNS, que encontró que la gran mayoría de los dominios estacionados (nombres de dominio que en su mayoría están vencidos o inactivos, o errores ortográficos comunes en sitios web populares (también conocidos como typosquatting)) se están utilizando para redirigir a los visitantes a sitios que ofrecen estafas y malware.
Infoblox reveló que a los visitantes de un typosquat del dominio legítimo perteneciente a una institución financiera desde una red privada virtual (VPN) se les muestra una página de estacionamiento normal, pero se les redirige a sitios fraudulentos o de malware si visitan desde una dirección IP residencial. Las páginas estacionadas, por su parte, envían a los visitantes a través de una cadena de redireccionamiento, al mismo tiempo que perfilan su sistema utilizando geolocalización de IP, huellas digitales del dispositivo y cookies para determinar dónde redireccionarlos.
«En experimentos a gran escala, descubrimos que más del 90% de las veces, los visitantes de un dominio estacionado serían dirigidos a contenido ilegal, estafas, scareware y suscripciones de software antivirus, o malware, ya que el 'clic' era vendido por la empresa de estacionamiento a los anunciantes, quienes a menudo revendían ese tráfico a otra parte», dijo la compañía. dicho. «Nada de este contenido mostrado estaba relacionado con el nombre de dominio que visitamos».
La infraestructura maliciosa de Evilginx AitM impulsa la recolección de credenciales
En los últimos meses, también ha surgido que los actores de amenazas están aprovechando un conjunto de herramientas de phishing de adversario en el medio (AitM) llamado Evilginx en ataques dirigidos a al menos 18 universidades e instituciones educativas en los EE. UU. desde el 12 de abril de 2025, con el objetivo de robar credenciales de inicio de sesión y cookies de sesión. Se han identificado hasta 67 dominios vinculados a la actividad.
«Las bajas tasas de detección en la comunidad de ciberseguridad resaltan cuán efectivas se han vuelto las técnicas de evasión de Evilginx», Infoblox dicho. «Las versiones recientes, como Evilginx Pro, añaden funciones que dificultan aún más la detección».
«Estos incluyen el uso predeterminado de certificados TLS comodín, filtrado de bots a través de huellas digitales avanzadas como JA4, páginas web señuelo, integración mejorada con proveedores de DNS (por ejemplo, Cloudflare, DigitalOcean), soporte multidominio para phishlets y ofuscación de JavaScript. A medida que Evilginx continúe madurando, identificar sus URL de phishing será cada vez más desafiante».
Red de juegos de azar fraudulentos muestra signos de funcionamiento de APT
El mes pasado, investigadores de la firma de seguridad Malanta revelaron detalles de una infraestructura en expansión que abarca más de 328.000 dominios y subdominios, incluidos más de 236.000 dominios relacionados con juegos de azar, que ha estado activa desde al menos 2011 y que probablemente sea una operación dual dirigida por un grupo patrocinado por un estado-nación que apunta a víctimas en los EE. UU., Europa y el Sudeste Asiático.
Se evalúa que la red, utilizada principalmente para apuntar a visitantes de habla indonesia, es parte de una operación más grande que incluye miles de dominios de juegos de azar, aplicaciones maliciosas de Android, secuestro de dominios y subdominios alojados en servicios de nube e infraestructura sigilosa integrada dentro de sitios web empresariales y gubernamentales en todo el mundo, dijeron los investigadores Yinon Azar, Noam Yitzhack, Tzur Leibovitz y Assaf Morag.
«Combinando apuestas ilegales, manipulación de SEO, distribución de malware y técnicas de adquisición altamente persistentes, esta campaña representa uno de los ecosistemas de nivel patrocinado por el estado, bien financiados y de habla indonesia más grandes y complejos observados hasta la fecha», Malanta dicho.
La actividad implica la explotación sistemática de WordPress, componentes PHP, DNS pendientes y activos de nube caducados para secuestrar y convertir en armas dominios confiables. También se ha descubierto que la infraestructura impulsa un ecosistema masivo de malware para Android alojado en depósitos S3 de Amazon Web Services (AWS) para distribuir droppers de APK con capacidades de comando y control (C2) y robo de datos.
Los actores de amenazas detrás del plan dependen de las redes sociales y las plataformas de mensajería instantánea para publicitar los sitios de juegos de azar y dirigir a los usuarios para que instalen las aplicaciones de Android. Se han marcado hasta 7.700 dominios que contienen enlaces a al menos 20 depósitos AWS S3 que almacenan los archivos APK (por ejemplo, «jayaplay168.apk» o «1poker-32bit.apk»).
Algunos aspectos de la operación de 14 años fueron destacados previamente por Imperva y Sucuríy este último lo rastreó como una campaña de spam de casino en línea denominada Slot Gacor que se encontró secuestrando páginas existentes en sitios web de WordPress comprometidos reemplazándolas con páginas de spam de casino.
La longevidad de la infraestructura, combinada con la escala y la sofisticación, ha planteado la posibilidad de que sea mantenida por una Amenaza Persistente Avanzada (APT) que está profundamente arraigada en el ecosistema de cibercrimen de Indonesia mientras explota activamente los activos virtuales gubernamentales en todo el mundo.
Fuente