ربطت الأبحاث مجموعة سان سيتي بـ FUNNULL في عمليات القمار والاحتيال عبر الإنترنت

كشفت تحقيقات أجرتها Silent Push مؤخرا عن وجود علاقات بين القمار، غسل الأموال، وعمليات الاحتيال التصيدية، كلها مرتبطة بشبكة توصيل المحتوى FUNNULL المثيرة للجدل.

تشير النتائج إلى أن FUNNULL تستضيف عددا كبيرا من المواقع الشبكية المريبة، الكثير منها مرتبط بعمليات القمار غير القانونية وخطط الاحتيال التجارية التصيدية.

واحدة من الجهات الفاعلة الرئيسية في هذه الشبكة هي مجموعة Suncity، وهي مشغلة للرحلات المقامرة التي تتخذ من ماكاو مقراً لها وقد تورطت في فضائح تتعلق بغسيل الأموال والقمار غير القانوني، كما أشير في التحقيق.

المجموعة، التي كانت في وقت من الأوقات أكبر مشغل VIP في ساحة القمار في آسيا، بنت بشكل مزعوم نظاماً مصرفياً ضخماً تحت الأرض تم من خلاله معالجة رهانات بقيمة 100 مليار دولار غير قانونية وغسل 40 مليار دولار للمجرمين.

رغم نفي أي تورط في الألعاب عبر الإنترنت، تشير الأدلة إلى أن سونسيتي قدمت الدعم للمواطنين الصينيين للمقامرة على الإنترنت، متجاوزة بذلك القوانين الصينية الصارمة ضد المقامرة، كما أشارت الى ذلك التحقيقات.

تم الحكم على ألفين تشاو، الرئيس التنفيذي لمجموعة سونسيتي، بالسجن لمدة 18 عامًا في العام الماضي بسبب دوره في هذه الأنشطة غير القانونية. كشفت التحقيقات حول سونسيتي عن صلات بينها وبين عصابة الجريمة الصينية المشهورة، الثلاثياد، وتبين أن المجموعة قد غسلت 19 مليون دولار لصالح مجموعة الجريمة الإلكترونية الكورية الشمالية المشهورة، لازاروس.

ما يزعج أكثر هو حجم البنية التحتية الإلكترونية لـ Suncity. اكتشف الباحثون أكثر من 6500 اسم مضيف تم إنشاؤه بواسطة خوارزمية توليد النطاق (DGA) مرتبطة بعمليات القمار التابعة للمجموعة، وكلها مستضافة على CDN لـ FUNNULL.

كشف البحث المتعمق في مواقع Suncity الإلكترونية عن روابط إلى حساب GitHub، الذي يحتوي على نماذج كود تُستخدم لإنشاء مواقع قمار مختلفة مستضافة على FUNNULL. تُظهر هذه النماذج، على الرغم من تجاوزها للزمن، كيف يمكن أن يكون كيان واحد مسؤولاً عن تطوير جزء كبير من مواقع القمار على الشبكة.

بالإضافة إلى المقامرة غير القانونية، كشفت Silent Push عن جانب آخر لعمليات FUNNULL – هجمات الاحتيال عبر الإنترنت التي تستهدف العلامات التجارية الكبرى.

تم العثور على أكثر من 650 نطاقًا تستضيف صفحات تسجيل الدخول المزيفة لشركات مثل Chanel، وCartier، و eBay. هذه المواقع الاحتيالية مصممة لخداع المستخدمين وجعلهم يدخلون بياناتهم الشخصية، التي يتم بعدها سرقتها وبيعها على الأرجح أو استخدامها في هجمات سيبرانية أخرى.

كشفت المواقع الاحتيالية عن هياكل برمجية مشابهة، مما يشير إلى حملة منسقة. يمتد تأثير هذه الخدع إلى نطاق واسع، وفقًا للتقرير. لا يقتصر دور FUNNULL على استضافة مواقع للمقامرة والاحتيال فقط، بل يشارك أيضًا في هجوم سلسلة التوريد.

في وقت سابق من هذا العام، استولت الجماعة على مكتبة JavaScript شهيرة، وهي polyfill.io، التي يستخدمها أكثر من 110,000 موقع على الإنترنت حول العالم. من خلال تعديل الكود، تمكنت FUNNULL من إعادة توجيه المستخدمين إلى مواقع المقامرة الآسيوية، مما أثر على عدد كبير من المواقع، كثير منها كان غير مدرك للتوجيهات الضارة.

الاستخدام الواسع للعملات المشفرة، وبشكل خاص تيثر (USDT)، في الأنشطة غير القانونية المُضيفة على FUNNULL ملحوظ أيضًا. العديد من مواقع المراهنات تشجع المستخدمين على إيداع الأموال في تيثر، مما يجعل نقل الأموال أكثر سهولة دون اكتشاف.

وهذا يضيف طبقة أخرى من التعقيد إلى شبكة معقدة بالفعل من النشاط الجنائي. أثارت النتائج مخاوف جدية حول دور شبكات التوصيل المحتوى (CDNs) مثل FUNNULL في تسهيل الجريمة الإلكترونية.

بينما تم تصميم شبكات توصيل المحتوى لتسريع حركة الإنترنت، يستخدم العاملون المشبوهون مثل FUNNULL بنيتهم التحتية لإخفاء الأنشطة غير القانونية خلف طبقات من التعقيد، مما يجعله أصعب للسلطات لتتبع أصول الاحتيال.