Los investigadores de ciberseguridad han arrojado luz sobre dos proveedores de servicios que proporcionan a las redes delictivas en línea las herramientas y la infraestructura necesarias para impulsar la economía de la matanza de cerdos como servicio (PBaaS).

Al menos desde 2016, los grupos delictivos de habla china han erigido centros de estafa a escala industrial en todo el sudeste asiático, que crean zonas económicas especiales que son devoto a operaciones fraudulentas de inversión y suplantación de identidad.

Estos compuestos albergan a miles de personas que atraído con la promesa de empleos bien remunerados, solo para tener sus pasaportes y verse obligados a realizar estafas bajo la amenaza de la violencia. La INTERPOL ha caracterizada estas redes como fraude alimentado por la trata de personas a escala industrial.

Uno de los principales impulsores de las estafas de matanza de cerdos (también conocidas como hostigamiento romántico) son los proveedores de servicios que proporcionan a las redes todas las herramientas para ejecutar y gestionar las operaciones de ingeniería social, así como para blanquear rápidamente los fondos y criptomonedas robados y transferir las ganancias obtenidas de forma ilícita a cuentas a las que las fuerzas del orden no pueden acceder.

«Los grandes complejos fraudulentos, como la Zona Económica del Triángulo Dorado (GTSEZ), ahora utilizan aplicaciones y plantillas listas para usar de los proveedores de PBaaS», Infoblox dijo en un informe publicado la semana pasada.

«Para agravar aún más la situación, lo que antes requería experiencia técnica o un desembolso para infraestructura física, ahora se puede comprar como un servicio listo para usar que ofrece de todo, desde identidades robadas y empresas ficticias hasta plataformas fraudulentas y aplicaciones móviles listas para usar, lo que reduce drásticamente la barrera de entrada».

Se ha descubierto que estos servicios ofrecen paquetes completos y kits de fraude que sientan las bases para lanzar operaciones de estafa en línea escalables sin mucho esfuerzo. Uno de esos actores de amenazas es Penguin Account Store, que también se conoce con los nombres de Heavenly Alliance y Overseas Alliance.

Penguin opera bajo un modelo de software criminal como servicio (CaaS), kits de fraude publicitario, plantillas de estafas y conjuntos de datos «shè gōng kù» que contienen información personal robada que pertenece a ciudadanos chinos. El grupo también vende datos de cuentas de varias plataformas multimedia populares, como Twitter, Tinder, YouTube, Snapchat, Facebook, Instagram, Apple Music, OpenAI ChatGPT, Spotify y Netflix, entre otras.

Se cree que es probable que estas credenciales se obtengan a través de registros de robo de información vendidos en la web oscura. Sin embargo, por el momento no se sabe si ellos mismos son los responsables de los ladrones o si simplemente actúan como intermediarios de datos robados para otros actores de amenazas. Los precios de las cuentas de redes sociales preregistradas comienzan desde tan solo 0,10 USD y su valor aumenta según la fecha de registro y la autenticidad.

Penguin también proporciona tarjetas SIM preregistradas masivas, cuentas de redes sociales robadas, enrutadores 4G o 5G, receptores IMSI y paquetes de imágenes robadas (también conocidas como conjuntos de caracteres) que se utilizan para atrapar a las víctimas. Además, el autor de la amenaza ha desarrollado una plataforma de gestión de las relaciones sociales con los clientes (SCRM) denominada SCRM AI, que permite a los operadores de estafas facilitar la participación automática de las víctimas en las redes sociales.

«El actor de amenazas también anuncia BCD Pay, una plataforma de procesamiento de pagos. BCD Pay, que enlaza directamente con la Garantía de Bochuang (), es una solución anónima de igual a igual (P2P) Hui One , con profundas raíces en el espacio ilegal de los juegos de azar en línea».

Una segunda categoría de servicio que es fundamental para la economía de la PBaaS son las plataformas de gestión de relaciones con los clientes (CRM), que proporcionan un control centralizado sobre varios agentes individuales. UWORK, un vendedor de herramientas de gestión de agentes y contenido, proporciona plantillas prediseñadas para crear sitios web fraudulentos en materia de inversiones. Muchas ofertas fraudulentas también afirman estar integradas con plataformas comerciales legítimas como MetaTrader para dar a los sitios una apariencia de confianza al mostrar información financiera en tiempo real.

Estos sitios web también vienen equipados con un panel Conozca a su cliente (KYC) que requiere que las víctimas carguen una prueba de su identidad. Los ajustes de los sitios web los configura un administrador a través de un panel dedicado, lo que les permite tener una visión de alto nivel de toda la operación, además de la posibilidad de crear perfiles para los agentes, quienes probablemente interactúen con las víctimas.

Panel para agregar una nueva cuenta de víctima y asignarle un agente directo

«El panel de administración ofrece todo lo necesario para ejecutar una operación de matanza de cerdos. Múltiples plantillas de correo electrónico, administración de usuarios, administración de agentes, métricas de rentabilidad y registros de chat y correo electrónico», afirma Infoblox. «La administración de los agentes es muy compleja y los agentes pueden incluso estar afiliados unos a otros».

También se ha descubierto que los proveedores de PBaaS proporcionan aplicaciones móviles para Android e iOS distribuyéndolas en forma de archivos APK e inscribiendo un número limitado de dispositivos Apple en un programa de pruebas para eludir los controles de la tienda de aplicaciones.

Algunos actores de amenazas han ido un paso más allá y han optado por lanzar estas aplicaciones directamente en los mercados de aplicaciones y, al mismo tiempo, ocultar su funcionalidad haciéndose pasar por aplicaciones de noticias aparentemente inofensivas. El panel de negociación solo se muestra cuando un usuario introduce una contraseña específica en la barra de búsqueda.

Las plantillas de sitios web que incluyen alojamiento pueden costar tan solo 50 dólares. Un paquete completo, que incluye un sitio web con acceso de administrador, alojamiento de VPS, aplicación móvil, acceso a una plataforma de negociación, la constitución de una empresa ficticia en un paraíso fiscal para ocultar sus actividades y el registro ante el regulador financiero local correspondiente, puede costar unos 2.500 dólares.

«Los sofisticados sindicatos delictivos asiáticos han creado una economía sumergida global a partir de sus refugios en el sudeste asiático», dijeron los investigadores Maël Le Touz y John Wòjcik. «La PBaaS proporciona los mecanismos para escalar una operación con relativamente poco esfuerzo y costo».

Los dominios aparcados como conducto para las estafas y el malware

La revelación se produce en el contexto de un nuevo estudio realizado por la empresa de inteligencia de amenazas del DNS, en el que se concluye que la gran mayoría de los dominios aparcados (nombres de dominio que en su mayoría están caducados o inactivos, o errores ortográficos comunes en sitios web populares (también conocidos como typosquatting)) se utilizan para redirigir a los visitantes a sitios que publican estafas y software malicioso.

Infoblox reveló que a los visitantes de una red privada virtual (VPN) a los visitantes de una red privada virtual (VPN) se les muestra una página de estacionamiento normal, pero se les redirige a sitios fraudulentos o de malware si visitan desde una dirección IP residencial. Las páginas aparcadas, por su parte, envían a los visitantes a través de una cadena de redireccionamiento y, al mismo tiempo, crean perfiles en su sistema mediante la geolocalización por IP, la toma de huellas dactilares de los dispositivos y las cookies para determinar hacia dónde redirigirlos.

«En experimentos a gran escala, descubrimos que más del 90% de las veces, los visitantes de un dominio aparcado se dirigían a contenido ilegal, estafas, suscripciones a software de scareware y antivirus o malware, ya que la empresa de aparcamiento vendía el «clic» a los anunciantes, que a menudo revendían ese tráfico a otra persona», dijo la empresa dijo . «Nada de este contenido mostrado estaba relacionado con el nombre de dominio que visitamos».

La infraestructura maliciosa de Evilginx AiTM impulsa la recolección de credenciales

En los últimos meses, también se ha descubierto que los actores de amenazas están aprovechando un conjunto de herramientas de suplantación de identidad denominado Evilginx para atacar al menos 18 universidades e instituciones educativas de EE. UU. desde el 12 de abril de 2025, con el objetivo de robar las credenciales de inicio de sesión y las cookies de sesión. Se han identificado hasta 67 dominios vinculados a la actividad.

«Las bajas tasas de detección en la comunidad de ciberseguridad destacan lo efectivas que se han vuelto las técnicas de evasión de Evilginx», Infoblox dijo . «Las versiones recientes, como Evilginx Pro, añaden funciones que dificultan aún más la detección».

«Estas incluyen el uso predeterminado de certificados TLS comodín, el filtrado de bots mediante huellas dactilares avanzadas como JA4, las páginas web señuelo, la mejora de la integración con los proveedores de DNS (por ejemplo, Cloudflare o DigitalOcean), la compatibilidad multidominio para los phishlets y la ofuscación de JavaScript. A medida que Evilginx vaya madurando, identificar sus URL de suplantación de identidad será cada vez más difícil».

Una red de juegos de azar fraudulentos muestra signos de operación de APT

El mes pasado, investigadores de la empresa de seguridad Malanta revelaron detalles de una infraestructura en expansión que abarca más de 328 000 dominios y subdominios, incluidos más de 236 000 dominios relacionados con juegos de azar, que ha estado activa al menos desde 2011 y que probablemente sea una operación dual dirigida por un grupo patrocinado por un estado nacional que apunta a víctimas en EE. UU., Europa y el sudeste asiático.

Según los investigadores Yinon Azar, Noam Yitzhack, Tzur Leibovitz y Assaf Morag, la red, que se utiliza principalmente para atacar a los visitantes de habla indonesia, forma parte de una operación más amplia que incluye miles de dominios de juegos de azar, aplicaciones maliciosas para Android, el secuestro de dominios y subdominios alojados en servicios en la nube y una infraestructura sigilosa integrada en sitios web empresariales y gubernamentales de todo el mundo.

«Al combinar el juego ilegal, la manipulación del SEO, la distribución de malware y técnicas de adquisición altamente persistentes, esta campaña representa uno de los ecosistemas más grandes y complejos de habla indonesia, bien financiados y patrocinados por el estado que se han observado hasta la fecha», dijo Malanta dijo .

La actividad implica la explotación sistemática de los componentes de WordPress y PHP, el DNS inexistente y los activos en la nube caducados para secuestrar dominios confiables y convertirlos en armas. También se ha descubierto que la infraestructura alimenta un enorme ecosistema de malware para Android alojado en buckets S3 de Amazon Web Services (AWS) para distribuir los droppers de APK con funciones de comando y control (C2) y de robo de datos.

Los actores de amenazas detrás del plan confían en las redes sociales y las plataformas de mensajería instantánea para anunciar los sitios de juegos de azar y dirigir a los usuarios a instalar las aplicaciones de Android. Se han marcado hasta 7 700 dominios que contienen enlaces a al menos 20 buckets de AWS S3 en los que se almacenan los archivos APK (por ejemplo, "jayaplay168.apk" o "1poker-32bit.apk «).

Algunos aspectos de la operación, que ya lleva 14 años, fueron destacados anteriormente por Imperva y Sucuri , y este último la rastreó como una campaña de spam en casinos en línea denominada Slot Gacor, que descubrió que secuestraba páginas existentes en sitios web de WordPress comprometidos sustituyéndolas por páginas de spam de casinos.

La longevidad de la infraestructura, combinada con la escala y la sofisticación, ha aumentado la posibilidad de que se mantenga gracias a una amenaza persistente avanzada (APT) que está profundamente arraigada en el ecosistema de ciberdelincuencia de Indonesia y, al mismo tiempo, explota activamente los activos virtuales gubernamentales de todo el mundo.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.