Araştırmalar, Suncity Group’un Kumar ve Phishing Dolandırıcılıklarında FUNNULL ile Bağlantısını Ortaya Koyuyor

Silent Push tarafından yapılan son araştırma, kumar, para aklama ve phishing dolandırıcılıkları arasındaki ilişkileri, tümü tartışmalı FUNNULL içerik dağıtım ağı (CDN) ile bağlantılı olarak ortaya çıkardı.

Bulgular, FUNNULL’ın, birçokları yasadışı kumar operasyonlarına ve perakende phishing şemalarına bağlı olan önemli sayıda gölgeli web sitesine ev sahipliği yaptığını gösteriyor.

Bu ağdaki ana aktörlerden biri, para aklama ve yasadışı kumarla ilgili skandallara karışmış olan, Macau merkezli bir junket operatörü olan Suncity Group’tur, bu durum soruşturmada belirtilmiştir.

Grup, bir zamanlar Asya’nın kumar sahnesinin en büyük VIP operatörü, iddia edildiği üzere, yasadışı bahislerde 100 milyar dolar ve suçlular için 40 milyar dolar aklanmış olan devasa bir yeraltı bankacılık sistemi kurmuştur.

Online oyunlarda herhangi bir dahli olduğunu reddetmesine rağmen, kanıtlar, Suncity’nin Çin vatandaşlarının online olarak kumar oynamasını sağladığını ve anakara Çin’in sıkı anti-kumar yasalarını ihlal ettiğini gösteriyor, bu da soruşturma tarafından belirtildi.

Suncity Group’un CEO’su Alvin Chau, geçen yıl bu yasa dışı faaliyetlerdeki rolü nedeniyle 18 yıl hapis cezasına çarptırıldı. Suncity üzerine yapılan soruşturma, grubun ünlü Çinli Triad suç örgütüyle bağlantılarını ortaya çıkardı ve grup, ünlü Kuzey Koreli siber suç grubu Lazarus için 19 milyon dolar akladığı tespit edildi.

Daha rahatsız edici olan şey, Suncity’nin çevrimiçi altyapısının ölçeği. Araştırmacılar, grubun kumar operasyonlarına bağlı 6.500’den fazla alan adı oluşturma algoritması (DGA) ev sahibi ismi keşfettiler, hepsi FUNNULL’un CDN’sinde barındırıldı.

Suncity web sitelerine daha fazla dalınca, bir GitHub hesabına olan bağlantılar ortaya çıktı. Bu hesap, FUNNULL üzerinde barındırılan çeşitli kumar siteleri oluşturmak için kullanılan kod şablonlarını içeriyordu. Bu şablonlar, eski olsalar da, bir tek kuruluşun ağdaki kumar sitelerinin büyük bir bölümünün geliştirilmesinden sorumlu olabileceğini gösteriyor.

Yasadışı kumarın yanı sıra, Silent Push, FUNNULL’un faaliyetlerinin başka bir yönünü ortaya çıkardı— büyük perakende markalarını hedef alan phishing dolandırıcılıkları.

Chanel, Cartier ve eBay gibi şirketler için sahte giriş sayfaları barındıran 650’den fazla alan adı bulundu. Bu phishing siteleri, kullanıcıları kimlik bilgilerini girmeye ikna etmek için tasarlanmıştır, bu bilgiler daha sonra çalınıp muhtemelen satılır ya da daha fazla siber saldırılar için kullanılır.

Phishing siteleri benzer kodlama yapılarına sahipti, bu da koordineli bir kampanya olduğunu düşündürüyor. Bu dolandırıcılıkların kapsamı, rapora göre oldukça büyük. FUNNULL sadece kumar ve phishing için web siteleri barındırmıyor; aynı zamanda bir tedarik zinciri saldırısında da yer alıyor.

Bu yılın başlarında, grup popüler bir JavaScript kütüphanesi olan polyfill.io’nun kontrolünü ele geçirdi, dünya genelinde 110.000’den fazla web sitesi tarafından kullanılıyor. Kodu değiştirerek, FUNNULL kullanıcıları Asyalı kumar sitelerine yönlendirebildi, bu durum birçok web sitesini etkiledi, çoğu kötü niyetli yönlendirmelerden habersizdi.

Kripto paraların kullanımı, özellikle Tether (USDT), FUNNULL’da gerçekleştirilen yasadışı faaliyetlerde önemli bir yer tutuyor. Birçok kumar sitesi, kullanıcılarına para aktarımını tespit edilmeden daha kolay bir şekilde yapabilmeleri için Tether’da fonlarını yatırmalarını teşvik ediyor.

Bu durum, zaten karmaşık olan bir suç ağına başka bir karmaşıklık katmanı ekliyor. Bu bulgular, FUNNULL gibi CDN’lerin siber suçları kolaylaştırma rolü konusunda ciddi endişeler uyandırmıştır.

İçerik dağıtım ağları, internet trafiğini hızlandırmak için tasarlanmış olsa da, FUNNULL gibi şüpheli işletmeciler, yasadışı faaliyetlerini karmaşıklık katmanlarının arkasına saklayarak altyapılarını kullanır, bu da yetkililerin dolandırıcılıkların kökenlerini izlemesini zorlaştırır.