Een Chinees misdaadsyndicaat dat banden heeft met witwassen en mensenhandel in Zuidoost-Azië, maakt gebruik van een geavanceerde ’technologiesuite’ die de volledige cybercriminele toeleveringsketen beheert om zijn activiteiten te leiden.
Infoblox volgt de eigenaar en de beheerder onder de naam Krachtige adderen merkt op dat het is ontwikkeld door de Yabo Group (ook bekend als Yabo Sports), die in het verleden in verband is gebracht met illegale gokoperaties en varkensslachting. Eind 2022 werd het omgedoopt tot Kaiyun Sports en is het sindsdien opgenomen in een andere nieuw gevormde entiteit genaamd Ponymuah.
De suite, in China op de markt gebracht als “baowang” (“包网,” wat volledig pakket betekent), omvat verschillende componenten zoals Domain Name System (DNS)-configuraties, websitehosting, betalingsmechanismen, advertenties en mobiele apps. Het host ook duizenden domeinnamen en talloze merken in een infrastructuur die is gekoppeld aan Hong Kong en China.
De onderneming draait om het veiligstellen van sponsoring door Europese voetbalclubs met behulp van frontbedrijven of white label-merken, en het gebruiken ervan als een “force multiplier” om illegale goksites in de regio te adverteren met als doel meer gokkers aan te trekken. In juli 2023 werd gemeld dat logo’s van gokbedrijven maar liefst 3.500 keer verschenen tijdens een voetbalwedstrijd op televisie.
Yabo, Ponymuah en andere gerelateerde partijen zoals OB (ook bekend als OBGM), DB Gaming, Panda Sports, KM Gaming en Smart King Games (SKG) maken allemaal deel uit van het uitgebreide netwerk van Vigorish Viper, wat de verwarrende en onduidelijke eigendomsverhoudingen van de gokbedrijven en de zorgvuldige stappen die worden ondernomen om controle te omzeilen, benadrukt.
Het zijn niet alleen Engelse voetbalclubs die zich bezighouden met dit soort sponsoring. Uit het onderzoek is namelijk gebleken dat ook cricket- en kabadditeams in India soortgelijke sponsorovereenkomsten zijn aangegaan om reclame te maken voor de merken Vigorish Viper.
“Vigorish Viper beheert een enorm netwerk van meer dan 170.000 actieve domeinnamen en ontwijkt detectie en rechtshandhaving door het geavanceerde gebruik van DNS CNAME-verkeersdistributiesystemen”, schrijven Infoblox-onderzoekers Maël Le Touz, Jacques Portal, Renée Burton en Elena Puga in een uitgebreid rapport dat is gedeeld met The Hacker News.
“Naast gokken, bedienen Vigorish Viper’s CNAME (traffic distribution systems) illegale streaming- en pornografiesites. Sommige van de domeinen die voor streaming worden gebruikt, zijn lang geregistreerde domeinen die Vigorish Viper heeft opgepikt nadat de oorspronkelijke registratie was verlopen.”
Burton, vice-president van threat intelligence bij Infoblox, beschreef de dreigingsactor als “een van de meest geavanceerde en belangrijke bedreigingen voor de digitale veiligheid” die tot nu toe is ontdekt.
“Vigorish Viper creëerde een complexe infrastructuur met meerdere lagen van verkeersdistributiesystemen (TDS’s) met behulp van DNS CNAME-records en JavaScript, wat het ongelooflijk moeilijk maakt om te detecteren,” zei Burton in een verklaring. “Deze systemen worden aangevuld met hun eigen gecodeerde communicatie en op maat ontwikkelde applicaties, waardoor hun activiteiten niet alleen ongrijpbaar maar ook opmerkelijk veerkrachtig zijn.”
Dit houdt in dat DNS CNAME-records worden gebruikt om verkeer van het ene domein om te leiden naar het andere, een techniek die eerder werd gebruikt door andere DNS-bedreigingsactoren zoals Savvy Seahorse. Bovendien heeft het systeem de mogelijkheid om onderscheid te maken tussen residentiële, mobiele en commerciële IP-adressen in China.
Eerder deze januari bracht het initiatief Play the Game van het Deense Instituut voor Sportstudies verbanden aan het licht tussen tientallen Europese voetbalclubs en illegale gokmerken. Deze verbanden zijn terug te voeren op Yabo en richten zich op rechtsgebieden als China, waar gokken verboden is en wordt beschouwd als georganiseerde misdaad.
Volgens de Asian Racing Federation (ARF) heeft de online criminaliteit ook een offline aspect. Hierbij worden mensen gelokt met de belofte van goedbetaalde banen en worden ze gedwongen om sportweddenschappen te steunen en oplichtingspraktijken met varkens en andere cryptovaluta te promoten.
“Sommigen werken in teams van 8-10 personen en werken samen met commentatoren en omroepers van live sportwedstrijden (waarschijnlijk via piratenstreams) om livechatgroepen te promoten die gokwebsites promoten tijdens wedstrijden”, aldus een rapport (PDF) dat in oktober 2023 door de ARF werd uitgebracht. “Anderen fungeren als relatiemanagers om klanten aan te moedigen om te blijven wedden en weer anderen als directe wervingsagenten voor klanten.”
Infoblox zei dat zijn eigen onderzoek naar Vigorish Viper voortkwam uit een enkel afwijkend domein, kb(.)com – een goksite genaamd KB Sports die Chinese naamservers gebruikt – die ook yabo(.)com host, de domeinnaam voor Yabo Sports.
Interessant om te weten is dat de website geografisch geblokkeerd is voor gebruikers in Frankrijk en elders in Europa. De website is echter wel toegankelijk vanuit het vasteland van China en de speciale bestuurlijke regio’s Hongkong en Macau.
“Wanneer de gebruiker vanuit een van die gebieden wordt bezocht, wordt hij doorgestuurd naar een ander domein — bijvoorbeeld kb830(.)com,” merkten de onderzoekers op. “Het doorstuurdomein verandert in de loop van de tijd. Bovendien is alle ‘rechtsklikken’-functionaliteit op de site uitgeschakeld, net als tekstselectie, wat pogingen om de site te onderzoeken of kopiëren belemmert.”
Gebruikers van de website krijgen vervolgens advertenties te zien die financiële prikkels promoten om regelmatig te wedden, naast opties om te betalen met WeChat Pay, EBpay, Alipay, JD Pay, KOIPay, AstroPay, YunShanFu, UniPay, Net Pay, Fast Pay en NetBank. Het wedden vindt plaats via agenten, die de weddenschappen plaatsen, de stortingen beheren en communiceren met gokkers via op maat gemaakte, gecodeerde chat-apps.
Uit een diepgaander onderzoek van de DNS-querylogs is ook gebleken dat de activiteiten van Vigorish Viper niet alleen in China plaatsvinden, maar ook gericht zijn op gebruikers over de hele wereld.
Andere verdedigingsmechanismen die in deze sites zijn ingebouwd, zijn onder meer het periodiek controleren op tekenen van geautomatiseerde activiteiten en het voorleggen van een CAPTCHA-puzzel aan bezoekers in een poging mogelijke scanpogingen te omzeilen, of bij het proberen contact op te nemen met de klantenservice. Dit is een taak die wordt uitgevoerd door echte mensen die naar Zuidoost-Azië zijn gesmokkeld.
Dat is nog niet alles. Gebruikers die een van de merkdomeinen van Vigorish Viper bezoeken, worden onderworpen aan meerdere rondes van vingerafdrukcontroles om te valideren dat het IP-adres zich in China bevindt en dat ze legitiem zijn, voordat ze op de sites mogen wedden.
“Zowel de DNS als de software verbinden Vigorish Viper’s hele onderneming met Yabo Sports of Yabo Group,” aldus het bedrijf. “Hun bereik strekt zich uit tot tientallen merken, mogelijk honderden, en richt zich op gebruikers buiten Zuidoost-Azië.”
“Ondanks het enorme aantal domeinnamen, websites en bijbehorende applicaties, en de openlijke aanwezigheid in de publieke belangstelling, opereert Vigorish Viper rechtstreeks en op onverklaarbare wijze in de VRC zonder noemenswaardige gevolgen.”
