Pesquisas Associam o Grupo Suncity ao FUNNULL em Esquemas de Jogo e Phishing

Uma recente investigação da Silent Push descobriu conexões entre jogos de azar, lavagem de dinheiro e golpes de phishing, todos ligados à controversa rede de entrega de conteúdo (CDN) FUNNULL.

Os resultados indicam que a FUNNULL hospeda um número significativo de sites duvidosos, muitos vinculados a operações ilícitas de jogos de azar e esquemas de phishing no varejo.

Um dos principais atores nesta rede é o Suncity Group, um operador de junket baseado em Macau que tem estado envolvido em escândalos relacionados à lavagem de dinheiro e ao jogo ilegal, conforme observado na investigação.

O grupo, uma vez o maior operador VIP na cena de jogos de azar da Ásia, supostamente construiu um enorme sistema bancário subterrâneo que processou $100 bilhões em apostas ilegais e lavou $40 bilhões para criminosos.

Apesar de negar qualquer envolvimento com jogos online, evidências sugerem que a Suncity permitiu que cidadãos chineses jogassem online, evitando as rigorosas leis anti-jogo da China continental, conforme observado pela investigação.

Alvin Chau, o CEO do Grupo Suncity, foi sentenciado a 18 anos de prisão no ano passado pelo seu papel nessas atividades ilegais. A investigação sobre a Suncity revelou ligações com o notório sindicato do crime Triade Chinesa, e foi descoberto que o grupo lavou $19 milhões para o infame grupo de ciber crime norte-coreano, Lazarus.

O que é mais perturbador é a escala da infraestrutura online do Suncity. Os pesquisadores descobriram mais de 6.500 nomes de host gerados por algoritmo de domínio (DGA) conectados às operações de jogo do grupo, todos hospedados no CDN do FUNNULL.

Investigações mais profundas nos sites do Suncity revelaram links para uma conta no GitHub, que continha modelos de código usados para criar vários sites de apostas hospedados no FUNNULL. Esses modelos, embora desatualizados, mostram como uma única entidade pode ser responsável por desenvolver uma grande parte dos sites de jogos na rede.

Além do jogo ilegal, Silent Push descobriu outro lado das operações da FUNNULL—golpes de phishing visando grandes marcas do varejo.

Mais de 650 domínios foram encontrados hospedando páginas falsas de login para empresas como Chanel, Cartier e eBay. Esses sites de phishing são projetados para enganar os usuários a inserirem suas credenciais, que são então roubadas e provavelmente vendidas ou usadas para mais ataques cibernéticos.

Os sites de phishing compartilhavam estruturas de codificação semelhantes, sugerindo uma campanha coordenada. O alcance dessas fraudes é massivo, de acordo com o relatório. FUNNULL não está apenas hospedando sites para jogos de azar e phishing; também está envolvida em um ataque à cadeia de suprimentos.

No início deste ano, o grupo assumiu o controle de uma biblioteca JavaScript popular, polyfill.io, utilizada por mais de 110.000 sites em todo o mundo. Ao modificar o código, a FUNNULL conseguiu redirecionar usuários para sites de jogos de azar asiáticos, afetando um grande número de sites, muitos dos quais desconheciam os redirecionamentos maliciosos.

O uso de criptomoedas, particularmente Tether (USDT), também é proeminente nas atividades ilícitas hospedadas no FUNNULL. Muitos sites de apostas incentivam os usuários a depositar fundos em Tether, facilitando a movimentação de dinheiro sem detecção.

Isso adiciona outra camada de complexidade a uma já enredada teia de atividade criminosa. As descobertas levantaram sérias preocupações sobre o papel de CDNs como o FUNNULL na facilitação do cibercrime.

Enquanto as redes de entrega de conteúdo são projetadas para acelerar o tráfego na internet, operadores suspeitos como o FUNNULL usam sua infraestrutura para esconder atividades ilícitas atrás de camadas de complexidade, tornando mais difícil para as autoridades rastrear as origens dos golpes.