Infoblox identifica actor malicioso chino vinculado a patrocinadores de clubes de fútbol europeos

Infoblox ha anunciado la identificación de un nuevo actor de amenazas de seguridad, al que se ha denominado Vigorish Viper, detrás del cual está una organización criminal china que utiliza una tecnología sofisticada para sacar partido al negocio de 1,7 billones de dólares que generan las apuestas ilegales, con vinculaciones con operaciones de blanqueo de capitales y trata de personas en todo el sudeste asiático.

Este descubrimiento de Infoblox  marca un hito fundamental en la lucha continuada contra el cibercrimen a nivel global utilizando inteligencia DNS.

“Vigorish Viper es una de las amenazas más sofisticadas e importantes de ciberseguridad que Infoblox Threat Intel ha identificado hasta la fecha”, comenta Renée Burton, vicepresidenta de Infoblox Threat Intel. “Infoblox Threat Intel ha utilizado las más novedosas técnicas de investigación de DNS para descubrir las tecnologías que utiliza esta organización.

Vigorish Viper ha creado una infraestructura tecnológica altamente sofisticada, con múltiples capas de sistemas de distribución de tráfico (TDS) utilizando registros DNS CNAME y JavaScript, lo que la hace muy difícil de detectar. Estos sistemas se complementan con sus propias comunicaciones cifradas y aplicaciones desarrolladas a medida, lo que hace que sus actividades sean muy opacas y persistentes”.

Vigorish Viper es un nombre derivado del término vigorish/vig, con el que las organizaciones de crimen organizado dedicadas a las apuestas denominan a las tarifas con que extorsionan a los apostadores desafortunados. Viper se refiere a la compleja combinación de TDS y complicadas relaciones de marca que el actor emplea para dirigir a los usuarios al contenido.

Vigorish Viper aprovecha el patrocinio de equipos deportivos europeos populares para publicitar sus sitios de apuestas ilegales, que apuntan principalmente a China.

Renée Burton añade que “este descubrimiento es particularmente importante porque ha demostrado la vinculación entre delitos “convencionales” como la trata de personas y el blanqueo de capitales con modernos ciberdelitos, de una manera que no se había hecho antes. Ahora podemos ver que el crimen organizado está ejecutando una sofisticada estrategia que utiliza como gancho la reputación de clubes de fútbol europeos para alimentar su ciclo de actividades delictivas”.

El estudio de Infoblox detalla el descubrimiento de Vigorish Viper, cómo opera este actor malicioso desde una perspectiva técnica, sus vínculos con el crimen organizado y su relación con organizaciones patrocinadoras de clubs de fútbol europeo. Entre las principales conclusiones del estudio se encuentran:

Uso de una suite tecnológica altamente sofisticada: Vigorish Viper utiliza un conjunto de herramientas tecnológicas que forman una cadena de suministro completa para llevar a cabo actividades maliciosas, y que incluye software, configuraciones de DNS, alojamiento de sitios web, sistemas de pago y aplicaciones móviles.

• Conexión con organizaciones criminales. La tecnología fue desarrollada por el Grupo Yabo (también conocido como Yabo Sports o Yabo) antes de su disolución en 2022. El Grupo Yabo y ciertos patrocinios a clubes de fútbol europeos fueron objeto de controversia por publicitar ilegalmente sitios de juegos de azar no regulados en Asia. El Consejo de la Federación Asiática de Carreras (ARF) Contra Apuestas Ilegales y Delitos Financieros Relacionados (Anti-Illegal Betting and Related Financial Crime) identificó a Yabo como “posiblemente la mayor operación de juego ilegal dirigida a China” y vinculó esta organización directamente con prácticas de trata de personas, cuyas víctimas se ven obligadas a apoyar los servicios de juego.
• Dificultad de detección y uso sofisticado de DNS: Vigorish Viper gestiona una amplia red de más de 170.000 nombres de dominio activos, lo que le permite evadir la detección y la aplicación de la ley mediante el uso sofisticado de sistemas de distribución de tráfico DNS CNAME.
• Controversia sobre patrocinios a clubes de futbol europeos: la red está implicada en un plan que incluye ser incluidos como patrocinadores de clubes de fútbol europeos en las retrasmisiones televisivas de los partidos o en las camisetas de los jugadores, por ejemplo, para publicitar sitios de apuestas ilegales en el Sudeste Asiático, explotando la popularidad de los clubes para atraer apostadores.
• Amenazas interconectadas: Decenas de organizaciones de juegos de azar que se anuncian mediante acuerdos de patrocinio con ciertos equipos deportivos europeos utilizan la tecnología Vigorish Viper. Si bien estas marcas parecen distintas, operan más como sucursales de una franquicia, lo que resalta aún más la importancia de una visión holística de este tipo de amenazas que solo DNS aporta.

“El análisis de DNS que ha permitido el descubrimiento de Vigorish Viper es el mejor mecanismo para rastrear la infraestructura de este actor malicioso, y el método más eficaz para luchar contra él, dado que cambia rápidamente”, añade Burton.

Para añadir gravedad a la situación, a pesar de que los juegos de azar son prácticamente ilegales en China, se estima que en el sudeste asiático este negocio mueve en torno a los 850.000 millones de dólares al año. Esta cifra subraya la escala y la complejidad de las operaciones de Vigorish Viper, con importantes implicaciones para el cibercrimen global.

“Infoblox mantiene su compromiso de proporcionar al mercado inteligencia sobre actores de amenazas que utilizan DNS para sus operaciones”, enfatiza Renée Burton. “Nuestros análisis demuestran el papel fundamental que desempeña el DNS en la lucha contra las amenazas cibernéticas sofisticadas y subraya la necesidad que hay en el mercado de una innovación continua en cuanto al uso seguro de DNS y a tecnologías de ciberseguridad”.

Bajo el liderazgo de Renée Burton, Infoblox Threat Intel se ha convertido en un reconocido proveedor de inteligencia sobre amenazas basada en DNS. Los investigadores de Infoblox Threat Intel utilizan un enfoque único que combina una profunda comprensión de los datos DNS, ciencia de datos, aprendizaje automático, inteligencia artificial e ingeniería inversa. Esta potente combinación de habilidades y experiencia permite a Infoblox Threat Intel generar inteligencia de amenazas sólida, fortaleciendo las soluciones Threat Defense de Infoblox.