Gioco d'azzardo illegale e spionaggio informatico: scoperta una rete segreta globale

Un'estesa rete di gioco d'azzardo illegale, operante da oltre 14 anni, si rivela essere molto più di una semplice frode. Nuove ricerche suggeriscono che dietro questa infrastruttura si cela un'operazione ibrida, capace di combinare guadagni illeciti con attività coperte riconducibili a un gruppo sponsorizzato da uno Stato. Questo gruppo avrebbe come obiettivo diretto organizzazioni governative e aziende statunitensi ed europee.

Il fenomeno era già noto, con segnalazioni di Sucuri a novembre riguardo alla compromissione di siti WordPress mal configurati e di Imperva a gennaio su attacchi a applicazioni PHP vulnerabili. Lo schema è consolidato: sfruttare debolezze, installare una backdoor GSocket e usare i server compromessi per ospitare contenuti di gioco illegale.

Il bersaglio principale sono gli utenti di lingua indonesiana, un mercato in cui il divieto nazionale sul gioco d'azzardo alimenta la domanda di servizi clandestini. La rete utilizza ben 236.433 domini registrati direttamente dagli attaccanti e almeno 1.481 sottodomini sottratti a organizzazioni legittime, spesso ospitati su piattaforme cloud come AWS, Azure e GitHub, con un ampio supporto dall'infrastruttura di Cloudflare.

La società di sicurezza informatica Malanta ha pubblicato un'analisi che evidenzia come questa complessa rete di frodi online sia solo la punta dell'iceberg di un'operazione ben più vasta. La longevità, la scala e l'investimento necessario per mantenere questa infrastruttura – stimato tra 725.000 e 17 milioni di dollari all'anno – suggeriscono una capacità operativa che va oltre le possibilità di un comune gruppo criminale.

Diversi indizi supportano questa tesi: lo sfruttamento massiccio di vulnerabilità in WordPress e PHP, la presenza di migliaia di app Android malevole attive per anni sull'infrastruttura AWS, l'uso sistematico di tecniche SEO, 38 account GitHub dedicati alla diffusione di malware e persino l'impiego di domini governativi compromessi per mascherare proxy e comunicazioni C2. Questi elementi, secondo gli analisti, configurano una minaccia di livello APT (Advanced Persistent Threat): sofisticata, persistente e altamente strutturata.

Malanta non attribuisce l'operazione a uno specifico Stato, ma sottolinea che le tecniche utilizzate e gli obiettivi presi di mira – settori come produzione, sanità, trasporti, istruzione e agenzie governative occidentali – sono tipici di attori coinvolti in attività di spionaggio informatico o infiltrazione strategica. L'elusività di questa rete la rende particolarmente pericolosa, poiché è in grado di nascondere le proprie tracce e operare nell'ombra per lunghi periodi di tempo.

Un elemento cruciale di questa rete è lo sfruttamento del fenomeno del dangling DNS e del dangling CNAME: domini o sottodomini di organizzazioni legittime che, una volta abbandonati, diventano terreno fertile per usi malevoli. Quando un record DNS o un alias cloud scade, gli attaccanti possono appropriarsene registrando l'indirizzo ormai libero. Questo permette loro di assumere l'identità di un sito legittimo e ingannare gli utenti.

Il dominio compromesso si trasforma così in un'arma versatile. Può ospitare siti clone che imitano servizi noti, facilitando la raccolta di dati sensibili. Ancora più pericoloso, può recuperare cookie di sessione validi per l'intero dominio principale, aprendo la strada ad accessi laterali nelle reti aziendali o governative. In alcuni casi, i ricercatori hanno scoperto che il sottodominio ereditava direttamente sessioni attive del portale legittimo, come nel caso di una multinazionale statunitense con un fatturato di 16 miliardi di dollari.

Il meccanismo è ulteriormente complicato dall'uso di reverse proxy NGINX che terminano la connessione TLS su domini autentici, per poi instradare segretamente il traffico verso server C2 controllati dagli attaccanti. In questo modo, le comunicazioni malevole appaiono come traffico HTTPS affidabile proveniente da enti pubblici, rendendo l'individuazione estremamente difficile. Questa tecnica di offuscamento avanzata permette alla rete di operare indisturbata, eludendo i sistemi di sicurezza tradizionali.

La rete non si limita a sottrarre denaro a utenti ignari. Malanta ha individuato oltre 51.000 credenziali compromesse, collegate a servizi di gioco illegale, immesse nei mercati criminali. Questo aspetto redditizio, secondo gli analisti, si affianca a un obiettivo ben più sofisticato: creare un'infrastruttura globale che consenta comunicazioni coperte, anonimato avanzato e operazioni informatiche clandestine. La vendita di credenziali compromesse rappresenta un ulteriore flusso di entrate per i gestori della rete, che utilizzano questi fondi per finanziare le loro attività illecite.

L'ipotesi più plausibile è quella di una joint venture tra gruppi cybercriminali orientati al profitto e attori legati a uno Stato-nazione, interessati a sfruttare la rete per attività di intelligence e movimento laterale nelle reti sensibili. Gli elementi raccolti – dalla scala dell'infrastruttura alle tecniche di offuscamento, dalla persistenza nel tempo alla qualità delle compromissioni – indicano chiaramente che la frode è solo una copertura. Questa sinergia tra criminalità informatica e spionaggio statale rappresenta una minaccia crescente per la sicurezza globale.

Come sottolineano i ricercatori, il gioco illegale rappresenta la fonte di guadagno, ma anche la maschera perfetta. Sotto questa superficie, una rete globale sembra essere in grado di fornire canali di comunicazione nascosti e infrastrutture di comando e controllo indispensabili per operazioni informatiche ad alto rischio. Questa combinazione spiega la natura e l'ambizione di un'operazione che è stata in grado di resistere e crescere per più di un decennio. La scoperta di questa rete segreta sottolinea l'importanza di una vigilanza costante e di una collaborazione internazionale per contrastare le minacce informatiche sempre più sofisticate e complesse.