Foi descoberta uma enorme operação de crime cibernético de língua indonésia que se estende por mais de 14 anos, revelando uma infra-estrutura sofisticada que mostra características de apoio e recursos a nível estatal normalmente associados a agentes avançados de ameaças persistentes.
Os investigadores de segurança em Malanta expor o que pode ser uma das maiores e mais complexas operações cibernéticas em língua indonésia já documentou um amplo ecossistema que tem operado continuamente desde pelo menos 2011.
A campanha orquestra uma intrincada rede de operações ilegais de jogos de azar, distribuição de malware, sequestro de domínios e infiltração de infraestrutura em redes empresariais e governamentais em todo o mundo.
A escala e a persistência desta operação sugerem recursos e organização consistentes com atividades de ameaças patrocinadas pelo Estado, em vez de empresas típicas de crimes cibernéticos.
O agente da ameaça mantém controle sobre mais de 328.000 domínios, consistindo em 236.433 domínios adquiridos especificamente para operações de jogos de azar, 90.125 domínios legítimos sequestrados e 1.481 subdomínios comprometidos.
Essa enorme infraestrutura abrange plataformas de nuvem, principalmente AWS e Azure, com hospedagem concentrada em Cloudflare e endereços IP baseados nos EUA.
O que distingue esta operação não é apenas o seu tamanho, mas a sua sofisticação. Os invasores exploram sistematicamente Vulnerabilidades do WordPresspontos fracos dos componentes PHP, registros DNS pendentes e recursos de nuvem expirados para transformar domínios confiáveis em armas.
Alguns subdomínios governamentais sequestrados em países ocidentais foram configurados com proxies reversos com terminação TLS, uma técnica que permite ao agente da ameaça disfarçar o tráfego de comando e controle como conexões HTTPS legítimas de domínios governamentais, ao mesmo tempo que permite o roubo de cookies de sessão.
Rede de distribuição de malware móvel
Os pesquisadores descobriram aproximadamente 7.700 domínios contendo links para pelo menos 20 buckets AWS S3 que hospedam milhares de malwares. Aplicativos Android com nomes com temas de jogos de azar como deltaslot88.apk e jayaplay168.apk.
Os próprios sites de jogos de azar são restritos geograficamente, normalmente acessíveis apenas a partir de endereços IP indonésios e exigem registro com números de telefone indonésios e dados bancários locais de instituições como BCA, Mandiri e carteiras digitais, incluindo DANA e OVO.
A análise de laboratório revelou que esses APKs funcionam como droppers que baixam cargas maliciosas adicionais, acessam armazenamento externo para exfiltração de dados e utilizam o Firebase Cloud Messaging do Google para entrega remota de comandos.
Credenciais codificadas e Chaves de API dentro dos aplicativos fornecem recursos de telemetria e gerenciamento, o malware compartilha infraestrutura comum de comando e controle, com várias amostras se comunicando com domínios como jp-api. nomesvr[.]dev.
A operação de sequestro de domínios e subdomínios representa um aspecto particularmente preocupante da campanha.
Os invasores injetam conteúdo malicioso em sites comprometidos, muitas vezes ocultando links de jogos de azar em HTML colhido de plataformas populares como Lazada, eBay e Envato.
A análise mostra que esses 108.000 domínios sem modelos específicos estão hospedados em apenas aproximadamente 600 endereços IP, com 92% desses IPs hospedando pelo menos dois domínios, uma forte evidência de controle centralizado por um único ator de ameaça.
O sequestro de subdomínios visando entidades governamentais ocidentais é especialmente preocupante. Esses subdomínios comprometidos herdam cookies de sessão de seus domínios pais, criando oportunidades para roubo de credenciais de serviços financeiros e sistemas de dados confidenciais.
Os proxies reversos baseados em NGINX implantados em FQDNs governamentais legítimos fornecem aos invasores canais altamente furtivos para atividades de crimes cibernéticos e comunicações de malware que parecem totalmente legítimas.
Infraestrutura e atribuição de suporte
A infra-estrutura de apoio à operação inclui 38 queimadores Contas GitHub hospedando modelos maliciosos, webshells, strings de verificação do Google e artefatos de distribuição.
O ator da ameaça sequestrou pelo menos 1.481 subdomínios. A maioria deles foi hospedada em AWS, Azure e GitHub.
Os pesquisadores também identificaram 480 domínios semelhantes representando grandes organizações, incluindo Slack, Amazon, Facebook, Instagram e Shopify, muitos deles registrados desde 2020 e renovados anualmente, demonstrando uma operação intencional e persistente.
Mais de 51.000 credenciais roubadas ligadas a esta infraestrutura surgiram em fóruns da dark web, provenientes de sites de jogos de azar, dispositivos Android infectados e subdomínios sequestrados.
Os pesquisadores estimam que a operação requer entre US$ 725.000 e US$ 5,3 milhões anualmente apenas para registro de domínio, hospedagem e custos de certificados, recursos financeiros que excedem as capacidades típicas dos cibercriminosos.
Combinadas com a longevidade de 14 anos da operação, técnicas sofisticadas que combinam exploração e compromisso oportunista, presença no mercado clandestino e maturidade organizacional, as características alinham-se mais estreitamente com operações de ameaças patrocinadas pelo Estado do que com o crime cibernético financeiro convencional.
Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.