Vigorish Viper es el nombre de un nuevo actor de amenazas de seguridad detrás del cual estaría una organización criminal china que utiliza una tecnología sofisticada para sacar partido a un negocio estimado en 1.7 millones de dólares.

Así lo difundió Infoblox Threat Intel, la unidad de inteligencia de ciberseguridad de Infoblox, al anunciar la identificación de esa organización maliciosa que ha obtenido tales ganancias al generar apuestas ilegales, vinculaciones con operaciones de blanqueo de capitales y trata de personas en el sudeste asiático.

“Vigorish Viper es una de las amenazas más sofisticadas e importantes de ciberseguridad que Infoblox Threat Intel ha identificado hasta la fecha”, aseveró Renée Burton, vicepresidenta de Infoblox Threat Intel. Agregó que para ello se utilizaron novedosas técnicas de investigación de DNS para descubrir las tecnologías que utiliza esta organización.

¿Cómo opera?

Al describir cómo opera esta organización maliciosa, Infoblox Threat Intel expuso que Vigorish Viper creó una infraestructura tecnológica altamente sofisticada, con múltiples capas de sistemas de distribución de tráfico (TDS) utilizando registros DNS CNAME y JavaScript, lo que la hace muy difícil de detectar. “Estos sistemas se complementan con sus propias comunicaciones cifradas y aplicaciones desarrolladas a medida, lo que hace que sus actividades sean muy opacas y persistentes”, señaló la unidad de inteligencia de ciberseguridad de Infoblox

Vigorish Viper es un nombre derivado del término vigorish/vig, con el que las organizaciones de crimen organizado dedicadas a las apuestas denominan a las tarifas con que extorsionan a los apostadores desafortunados. Viper se refiere a la compleja combinación de TDS y complicadas relaciones de marca que el actor emplea para dirigir a los usuarios al contenido.

Además, Vigorish Viper aprovecha el patrocinio de equipos deportivos europeos populares para publicitar sus sitios de apuestas ilegales, que apuntan principalmente a China.

El estudio de Infoblox detalla el descubrimiento de Vigorish Viper, cómo opera este actor malicioso desde una perspectiva técnica, sus vínculos con el crimen organizado y su relación con organizaciones patrocinadoras de clubs de futbol europeo. Entre las principales conclusiones del estudio se encuentran:

Uso de una suite tecnológica altamente sofisticada: Vigorish Viper utiliza un conjunto de herramientas tecnológicas que forman una cadena de suministro completa para llevar a cabo actividades maliciosas, y que incluye software, configuraciones de DNS, alojamiento de sitios web, sistemas de pago y aplicaciones móviles.

• Conexión con organizaciones criminales. La tecnología fue desarrollada por el Grupo Yabo (también conocido como Yabo Sports o Yabo) antes de su disolución en 2022. El Grupo Yabo y ciertos patrocinios a clubes de futbol europeos fueron objeto de controversia por publicitar ilegalmente sitios de juegos de azar no regulados en Asia. El Consejo de la Federación Asiática de Carreras (ARF) Contra Apuestas Ilegales y Delitos Financieros Relacionados (Anti-Illegal Betting and Related Financial Crime) identificó a Yabo como “posiblemente la mayor operación de juego ilegal dirigida a China” y vinculó esta organización directamente con prácticas de trata de personas, cuyas víctimas se ven obligadas a apoyar los servicios de juego.

• Dificultad de detección y uso sofisticado de DNS: Vigorish Viper gestiona una amplia red de más de 170,000 nombres de dominio activos, lo que le permite evadir la detección y la aplicación de la ley mediante el uso sofisticado de sistemas de distribución de tráfico DNS CNAME.

• Controversia sobre patrocinios a clubes de futbol europeos: la red está implicada en un plan que incluye ser incluidos como patrocinadores de clubes de futbol europeos en las retrasmisiones televisivas de los partidos o en las camisetas de los jugadores, por ejemplo, para publicitar sitios de apuestas ilegales en el Sudeste Asiático, explotando la popularidad de los clubes para atraer apostadores.
• Amenazas interconectadas: Decenas de organizaciones de juegos de azar que se anuncian mediante acuerdos de patrocinio con ciertos equipos deportivos europeos utilizan la tecnología Vigorish Viper. Si bien estas marcas parecen distintas, operan más como sucursales de una franquicia, lo que resalta aún más la importancia de una visión holística de este tipo de amenazas que sólo DNS aporta.

A pesar de que los juegos de azar son prácticamente ilegales en China, se estima que en el sudeste asiático este negocio mueve en torno a los 850,000 millones de dólares al año. Esta cifra subraya la escala y la complejidad de las operaciones de Vigorish Viper, con importantes implicaciones para el cibercrimen global.

Cabe señalar que, para identificar este actor malicioso, los investigadores de Infoblox Threat Intel utilizaron una combinación de datos DNS, ciencia de datos, aprendizaje automático, inteligencia artificial e ingeniería inversa, reportó la compañía.