Los investigadores de ciberseguridad han destacado dos proveedores de servicios que brindan a las redes criminales en línea las herramientas y la infraestructura necesarias para facilitar la economía de la matanza de cerdos como servicio (PBaaS).
Desde al menos 2016, grupos criminales de habla china han establecido centros de fraude a escala industrial en todo el sudeste asiático y han creado zonas económicas especiales especializadas en inversiones fraudulentas y actividades de robo de identidad.
Estas instalaciones albergan a miles de personas que son atraídas por promesas de empleos bien remunerados, pero que son despojadas de sus pasaportes y obligadas a cometer fraude bajo amenaza de violencia. Interpol caracteriza estas redes como fraudes que alimentan la trata de personas a escala industrial.
Uno de los facilitadores clave de las estafas de sacrificio de cerdos (también conocido como cebo romántico) son los proveedores de servicios que brindan a las redes todas las herramientas para realizar y gestionar operaciones de ingeniería social. También lava rápidamente fondos y criptomonedas robados y transfiere ganancias obtenidas ilícitamente a cuentas que son inaccesibles para las autoridades.
«Grandes grupos de fraude como la Zona Económica del Triángulo Dorado (GTSEZ) están utilizando actualmente aplicaciones y plantillas disponibles en el mercado de proveedores de PBaaS», dijo Infoblox en un informe publicado la semana pasada.
«Para empeorar las cosas, las barreras de entrada se han reducido drásticamente, ya que lo que antes requería experiencia técnica y costos para la infraestructura física ahora se puede comprar como servicios disponibles que ofrecen de todo, desde identidades robadas y empresas fachada hasta plataformas de fraude llave en mano y aplicaciones móviles».
Estos servicios ofrecen paquetes completos y kits de fraude que sientan las bases para lanzar operaciones de fraude en línea escalables sin ningún problema. Uno de esos actores de amenazas es Penguin Account Store, que también se conoce con los nombres Heavenly Alliance y Outsiders Alliance.
Penguin opera con un modelo de crimeware como servicio (CaaS) y anuncia el conjunto de datos «shè gōng kù», que consta de kits de fraude, plantillas de fraude e información personal robada de ciudadanos chinos. El grupo también vende datos de cuentas de una variedad de las llamadas plataformas de medios populares, incluidas Twitter, Tinder, YouTube, Snapchat, Facebook, Instagram, Apple Music, OpenAI ChatGPT, Spotify y Netflix.
Se cree que estas credenciales probablemente se obtuvieron a través de registros de robo de información vendidos en la web oscura. Sin embargo, actualmente no está claro si son ladrones que operan ellos mismos o simplemente intermedian datos robados para otros actores de amenazas. Los precios para cuentas de redes sociales prerregistradas comienzan desde solo $0,10 y aumentan según la fecha de registro y la confiabilidad.
Penguin también ofrece paquetes de tarjetas SIM preregistradas en masa, cuentas de redes sociales robadas, enrutadores 4G o 5G, receptores IMSI y fotografías robadas (también conocidas como conjuntos de caracteres) utilizadas para atrapar a las víctimas. Además de esto, los atacantes han desarrollado una plataforma de gestión social de relaciones con los clientes (SCRM) llamada SCRM AI que permite a los estafadores facilitar la participación automatizada de las víctimas en las redes sociales.
«El actor de amenazas también promueve BCD Pay, una plataforma de procesamiento de pagos que está directamente vinculada a Bochuang Security, una solución anónima peer-to-peer (P2P) similar a HuiOne, y profundamente arraigada en el espacio ilegal de los juegos de azar en línea».
La segunda categoría de servicio que es fundamental para la economía PBaaS son las plataformas de gestión de relaciones con el cliente (CRM), que gestionan de forma centralizada múltiples agentes individuales. UWORK, que vende contenido y herramientas de gestión de agentes, ofrece plantillas listas para usar para crear sitios web de fraude de inversiones. Muchos servicios fraudulentos afirman integrarse con plataformas comerciales legítimas como MetaTrader para aumentar la credibilidad del sitio al mostrar información financiera en tiempo real.
Estos sitios web también están equipados con paneles de conocimiento de su cliente (KYC) que requieren que las víctimas carguen una prueba de identidad. Los administradores configuran la configuración del sitio web a través de un panel dedicado, lo que les brinda una descripción general de toda la operación, junto con la capacidad de perfilar a los agentes que probablemente interactuarán con las víctimas.
Leyenda: Panel para agregar una nueva cuenta de víctima y asignar un agente directo
«El panel de administración proporciona todo lo que necesita para realizar una operación de matanza de cerdos, incluidas múltiples plantillas de correo electrónico, gestión de usuarios, gestión de agentes, métricas de rentabilidad e incluso registro de chat y correo electrónico», dijo Infoblox. «La gestión de agentes es muy compleja y los agentes pueden convertirse en afiliados entre sí».
También se descubrió que los proveedores de PBaaS ofrecían aplicaciones móviles para Android e iOS distribuyéndolas en forma de archivos APK e inscribiendo un número limitado de dispositivos Apple en programas de prueba para eludir los controles de la tienda de aplicaciones.
Algunos actores de amenazas van un paso más allá y optan por lanzar dichas aplicaciones directamente en los mercados de aplicaciones, ocultando su funcionalidad bajo la apariencia de aplicaciones de noticias aparentemente inofensivas. El panel de operaciones solo se mostrará si el usuario ingresa una contraseña específica en la barra de búsqueda.
Una plantilla de sitio web cuesta sólo $50, incluido el alojamiento. Los paquetes completos que incluyen un sitio web con acceso de administrador, alojamiento VPS, una aplicación móvil, acceso a una plataforma comercial, constitución de una empresa fachada en un paraíso fiscal para ocultar sus actividades y registro ante el regulador financiero local correspondiente pueden comenzar desde alrededor de $2,500.
«Las sofisticadas organizaciones criminales asiáticas han creado una economía sumergida global desde sus refugios seguros en el sudeste asiático», dijeron los investigadores Mael Le Touz y John Wojcik. «PBaaS proporciona un mecanismo para escalar operaciones con relativamente poco esfuerzo y costo».
Dominios aparcados como conducto para el fraude y el malware
La divulgación surge a raíz de un nuevo estudio realizado por una firma de inteligencia de amenazas DNS que encontró que una gran parte de los dominios estacionados (en su mayoría nombres de dominio vencidos o inactivos, o errores ortográficos comunes de sitios web populares (también conocidos como typosquatting)) se están utilizando para redirigir a los visitantes a sitios que ofrecen estafas o malware.
Infoblox reveló que los visitantes de TypoSquat, un dominio legítimo perteneciente a una institución financiera, desde una red privada virtual (VPN) verán una página de estacionamiento normal, pero aquellos que visiten desde una dirección IP residencial serán redirigidos a un sitio fraudulento o con malware. Las páginas estacionadas envían a los visitantes a través de cadenas de redireccionamiento mientras crean perfiles de su sistema mediante geolocalización de IP, huellas digitales del dispositivo y cookies para determinar dónde redireccionar.
«En experimentos extensos, descubrimos que más del 90% de las veces, los visitantes de dominios estacionados son dirigidos a contenido ilegal, fraude, scareware o suscripciones de software antivirus, o malware. Esto se debe a que las empresas de estacionamiento venden los ‘clics’ a los anunciantes, quienes a menudo revenden ese tráfico a otras partes», dijo la compañía. «Nada de este contenido mostrado estaba relacionado con el nombre de dominio que visitamos».
La infraestructura maliciosa Evilginx AitM facilita la recopilación de credenciales
En los últimos meses, también se ha revelado que los actores de amenazas han estado aprovechando un conjunto de herramientas de phishing de intermediario (AitM) llamado Evilginx en ataques dirigidos a al menos 18 universidades e instituciones educativas en los Estados Unidos desde el 12 de abril de 2025, con el objetivo de robar credenciales de inicio de sesión y cookies de sesión. Se han identificado hasta 67 dominios asociados con esta actividad.
«La baja tasa de detección en la comunidad de ciberseguridad pone de relieve cuán efectivas se han vuelto las técnicas de evasión de Evilginx», dijo Infoblox. «Las versiones más recientes, como Evilginx Pro, han agregado características que dificultan aún más la detección».
«Estos incluyen el uso predeterminado de certificados TLS comodín, filtrado de bots con huellas dactilares avanzadas como JA4, páginas web señuelo, integración mejorada con proveedores de DNS (Cloudflare, DigitalOcean, etc.), soporte multidominio para fishlets y ofuscación de JavaScript. A medida que Evilginx continúe madurando, identificar URL de phishing será cada vez más difícil».
Las redes de juego ilegal dan señales de operaciones de APT
El mes pasado, investigadores de la firma de seguridad Maranta detallaron una vasta infraestructura que abarca más de 328.000 dominios y subdominios, incluidos más de 236.000 dominios relacionados con el juego. Esta infraestructura ha estado activa desde al menos 2011 y probablemente sea una operación dual de grupos patrocinados por el Estado que apuntan a víctimas en Estados Unidos, Europa y el Sudeste Asiático.
Los investigadores Enon Azar, Noam Yitzhak, Tsur Leibovitz y Assaf Morag dicen que la red se utiliza principalmente para apuntar a visitantes de habla indonesia y se considera parte de una operación más grande que incluye miles de dominios de juegos de azar, aplicaciones maliciosas de Android, secuestro de dominios y subdominios alojados en servicios de nube e infraestructura sigilosa integrada en sitios web corporativos y gubernamentales de todo el mundo.
«Esta campaña, que combina apuestas ilegales, manipulación de SEO, distribución de malware y técnicas de adquisición altamente persistentes, representa uno de los ecosistemas respaldados por el estado, bien financiados y de habla indonesia más grandes y complejos jamás observados», dijo Maranta.
Esta actividad incluye la explotación sistemática de WordPress, componentes PHP, DNS no resueltos y activos de nube caducados para secuestrar y convertir en armas dominios confiables. Esta infraestructura impulsa un gran ecosistema de malware para Android alojado en depósitos S3 de Amazon Web Services (AWS) y también se ha descubierto que distribuye droppers de APK con capacidades de comando y control (C2) y robo de datos.
Imperva y Sucuri han destacado previamente varios aspectos de esta operación de 14 años, y este último la rastreó como una campaña de spam de casino en línea llamada Slot Gacor, que se descubrió que secuestraba páginas existentes en sitios web comprometidos de WordPress reemplazándolas con páginas de spam de casino.
La larga vida útil, la escala y la sofisticación de la infraestructura plantean la posibilidad de que sea mantenida por amenazas persistentes avanzadas (APT) que están profundamente arraigadas en el ecosistema de cibercrimen de Indonesia, explotando activamente los activos virtuales de los gobiernos de todo el mundo.
Source link
