Un sindicato chino del crimen organizado con vínculos con el lavado de dinero y la trata de personas en todo el sudeste asiático ha estado utilizando un «conjunto de tecnologías» avanzadas que abarca todo el espectro de la cadena de suministro de delitos cibernéticos para encabezar sus operaciones.
Infoblox está rastreando al propietario y mantenedor bajo el apodo de Vigorish Viper, señalando que es desarrollado por Yabo Group (también conocido como Yabo Sports), que ha sido vinculado a operaciones de juego ilegal y estafas de carnicería de cerdos en el pasado. A finales de 2022, cambió su nombre a Kaiyun Sports y desde entonces ha sido absorbida por otra entidad recién formada llamada Ponymuah.
La suite, comercializada en China como «baowang» («包网», que significa paquete completo) abarca varios componentes, como configuraciones del Sistema de Nombres de Dominio (DNS), alojamiento de sitios web, mecanismos de pago, publicidad y aplicaciones móviles. También alberga miles de nombres de dominio y numerosas marcas en una infraestructura que está vinculada a Hong Kong y China.
La empresa depende de asegurar patrocinios de clubes de fútbol europeos utilizando empresas fachada o marcas blancas, y usarlas como un «multiplicador de fuerza» para publicitar sitios de apuestas ilegales en la región con el objetivo de atraer a más apostadores. En julio de 2023, se informó de que los logotipos de las empresas de apuestas aparecían hasta 3.500 veces durante el transcurso de un partido de fútbol televisado.
Yabo, Ponymuah y otras ramificaciones relacionadas como OB (también conocida como OBGM), DB Gaming, Panda Sports, KM Gaming y Smart King Games (SKG) forman parte de la extensa red de Vigorish Viper, lo que pone de manifiesto la enredada y turbia propiedad de las empresas de juegos de azar y los minuciosos pasos que se han dado para eludir el escrutinio.
No son solo los clubes de fútbol ingleses los que se han involucrado en estos patrocinios, ya que la investigación ha descubierto que los equipos de cricket y kabaddi en la India también han firmado acuerdos de patrocinio similares para publicitar las marcas Vigorish Viper.
«Vigorish Viper opera una vasta red de más de 170.000 nombres de dominio activos, evadiendo la detección y la aplicación de la ley a través de su sofisticado uso de sistemas de distribución de tráfico DNS CNAME», dijeron los investigadores de Infoblox Maël Le Touz, Jacques Portal, Renée Burton y Elena Puga en un exhaustivo informe compartido con The Hacker News.
«Además de los juegos de azar, los CNAME [sistemas de distribución de tráfico] de Vigorish Viper sirven a sitios ilegales de streaming y pornografía. Algunos de los dominios utilizados para la transmisión son dominios registrados desde hace mucho tiempo que Vigorish Viper recogió después de que expirara el registro original».
Burton, vicepresidente de inteligencia de amenazas de Infoblox, describió al actor de amenazas como «una de las amenazas más sofisticadas e importantes para la seguridad digital» descubiertas hasta la fecha.
![]() |
Una visión general del programa de patrocinio deportivo de Vigorish Viper |
«Vigorish Viper creó una infraestructura compleja con múltiples capas de sistemas de distribución de tráfico (TDS) utilizando registros DNS CNAME y JavaScript, lo que hace que sea increíblemente difícil de detectar», dijo Burton en un comunicado. «Estos sistemas se complementan con sus propias comunicaciones encriptadas y aplicaciones desarrolladas a medida, lo que hace que sus actividades no solo sean elusivas, sino también notablemente resistentes».
Esto implica el uso de registros CNAME de DNS para redirigir el tráfico de un dominio a otro, una técnica adoptada anteriormente por otros actores de amenazas de DNS como Savvy Seahorse. Además, el sistema tiene la capacidad de diferenciar entre direcciones IP residenciales, móviles y comerciales en China.
A principios de enero, la iniciativa Play the Game del Instituto Danés de Estudios Deportivos descubrió conexiones entre docenas de clubes de fútbol europeos y marcas de apuestas ilegales que se remontan a Yabo y apuntan a jurisdicciones como China, donde el juego está prohibido y se considera un crimen organizado.
Los delitos en línea también tienen un aspecto fuera de línea que involucra la trata de personas, en la que las personas son atraídas con la promesa de trabajos bien remunerados y se ven obligadas a apoyar esquemas de apuestas deportivas y promover estafas de matanza de cerdos y otras estafas de criptomonedas, según la Federación Asiática de Carreras (ARF).
«Operando en equipos de 8 a 10 personas, algunos se coordinan con comentaristas y emisoras de deportes en vivo (presumiblemente en transmisiones piratas) para promover grupos de chat en vivo que comercializan sitios web de apuestas durante los juegos», según un informe [PDF] publicado por la ARF en octubre de 2023. «Otros actúan como gestores de relaciones para animar a los clientes a seguir apostando y otros como agentes directos de captación de clientes».
![]() |
Pasos entre el momento en que un usuario visita un sitio y comienza a realizar apuestas |
Infoblox dijo que su propia investigación sobre Vigorish Viper se derivó de un solo dominio anómalo, kb[.] com – un sitio de apuestas llamado KB Sports que utiliza servidores de nombres chinos – que también aloja yabo[.] com, el nombre de dominio de Yabo Sports.
Un aspecto interesante a tener en cuenta aquí es que el sitio web está bloqueado geográficamente para usuarios ubicados en Francia y en otras partes de Europa, pero es accesible desde China continental y las regiones administrativas especiales de Hong Kong y Macao.
«Cuando se visita desde una de esas áreas, el usuario es redirigido a otro dominio, por ejemplo, kb830[.] com», señalaron los investigadores. «El dominio de redireccionamiento cambia con el tiempo. Además, toda la funcionalidad de ‘clic derecho’ está deshabilitada en el sitio, al igual que la selección de texto, lo que dificulta los esfuerzos para investigar o copiar el sitio».
A continuación, los usuarios del sitio web reciben anuncios que promocionan incentivos financieros para apostar regularmente, junto con opciones para pagar con WeChat Pay, EBpay, Alipay, JD Pay, KOIPay, AstroPay, YunShanFu, UniPay, Net Pay, Fast Pay y NetBank. Las apuestas se realizan a través de agentes, que realizan las apuestas, gestionan los depósitos y se comunican con los jugadores a través de aplicaciones de chat encriptadas a medida.
Un examen más profundo de los registros de consultas de DNS también ha desenterrado evidencia de que las actividades de Vigorish Viper trascienden China para dirigirse a usuarios de todo el mundo.
Algunos de los otros mecanismos de defensa integrados en estos sitios incluyen la verificación periódica de signos de actividad automatizada y la entrega de un rompecabezas CAPTCHA para los visitantes en un intento de evitar posibles esfuerzos de escaneo, o cuando intentan comunicarse con el servicio de atención al cliente, una tarea llevada a cabo por personas reales que han sido traficadas al sudeste asiático.
Eso no es todo. Los usuarios que visitan uno de los dominios de la marca Vigorish Viper están sujetos a múltiples rondas de comprobaciones de huellas dactilares para validar que la dirección IP está en China y son legítimas, antes de que se les permita apostar en los sitios.
«Tanto el DNS como el software vinculan toda la empresa de Vigorish Viper con Yabo Sports o Yabo Group», dijo la compañía. «Su alcance se extiende a docenas de marcas, posiblemente cientos, y se dirige a usuarios más allá del sudeste asiático».
«A pesar de la gran cantidad de nombres de dominio, sitios web y aplicaciones que los acompañan, junto con la presencia abierta en el ojo público, Vigorish Viper está operando directa e inexplicablemente en la República Popular China sin consecuencias significativas».
Fuente: The Hackernews