Un navegador con sorpresa, un casino en línea y lavado de dinero: cómo Vault Viper forjó un imperio cibernético en Asia
Decenas de miles de sitios web, transacciones en criptomonedas y paraísos fiscales: todo conectado en un mismo ecosistema.
Entre las organizaciones criminales asiáticas que operan en el submundo digital del Sudeste Asiático se ha identificado una estructura cuyos alcances y capacidad técnica son comparables con una plataforma cibercriminal completa. El equipo Infoblox Threat Intel publicó un informe en el que revela el funcionamiento de la red Vault Viper —una infraestructura compleja que conecta el juego online ilegal, el robo de datos, el lavado de dinero y la distribución de software malicioso. En el centro de este esquema está la empresa Baoying Group, más conocida bajo la marca BBIN, que desplegó en la región todo un ecosistema de servicios camuflados como una plataforma de juego legítima.
Uno de los elementos clave de la infraestructura Vault Viper es el navegador Universe Browser, promocionado como una herramienta para eludir la censura y proteger la privacidad. En realidad es una compilación modificada de Chromium, equipada con funciones propias de troyanos de acceso remoto: conexión a servidores de mando, instalación encubierta de software, recopilación de información de los usuarios e interceptación del tráfico. Además, todo el tráfico se enruta a través de servidores controlados por el operador, lo que permite mantener el acceso a los dispositivos infectados y usarlos como puntos para ataques posteriores.
El informe mostró que el navegador se distribuye junto con plataformas de apuestas en línea desarrolladas por BBIN. Estas soluciones ofrecen un conjunto completo de funciones —desde motores de juego hasta sistemas de procesamiento de pagos— incluyendo soporte para transacciones anónimas con criptomonedas e interacción con pasarelas de pago ilegales. Toda la pila de software está adaptada a países con regulación estricta de los juegos de azar, lo que permite a los participantes eludir prohibiciones y operar fuera de la vigilancia de los reguladores.
El análisis de DNS permitió vincular cientos de dominios activos con la infraestructura de Vault Viper, incluidos recursos para descargar el navegador, dominios de mando y páginas de casinos en línea. Un elemento clave fue el número autónomo AS55547, donde se alojan decenas de miles de sitios vinculados con BBIN, incluidas plataformas servidas por grupos criminales. Además, los investigadores encontraron menciones a Vault Viper en aplicaciones móviles y extensiones de navegador, así como rastros de interacción oculta entre sus componentes y servidores proxy en la China continental y otras regiones.
Cabe destacar la conexión de Vault Viper con una red más amplia de crimen organizado. Baoying Group, según se determinó, tenía vínculos estrechos con la tríada Suncity Group y su fundador Elvin Chau, condenado por participar en juegos de azar ilegales y lavado de dinero por miles de millones de dólares. A través de empresas pantalla y propietarios ficticios, BBIN consiguió establecerse en zonas con regulación laxa —desde zonas económicas especiales de Filipinas hasta paraísos fiscales en América Latina y Europa—. Todo ello contribuyó a crear una infraestructura resistente, distribuida y casi invulnerable para los cibercrímenes y el lavado transnacional de ingresos.
En el análisis también se examinaron los componentes de Universe Browser para Windows, donde se prestó especial atención a los módulos de servicio que garantizan la persistencia y la comunicación con los servidores de mando. Además del seguimiento de la actividad de los usuarios e infiltración en procesos del sistema, se identificaron mecanismos para descargar configuraciones mediante registros DNS y enrutamiento oculto del tráfico con uso de claves cifradas. Algunos elementos, como las extensiones integradas Screenshot y lineSelector, permiten además al navegador identificar a los usuarios que visitan los recursos de Vault Viper y adaptar su comportamiento en consecuencia.
Resulta especialmente preocupante el comportamiento de Universe Browser, que se presenta como una herramienta segura pero que, en esencia, desempeña funciones de software malicioso. Entre otras acciones: desactivación de mecanismos de protección, herramientas de desarrollador deshabilitadas, conexiones ocultas a nodos externos y descarga de archivos binarios sin el conocimiento del usuario. A pesar de su posicionamiento como herramienta para eludir la censura, el análisis técnico mostró la primitividad del mecanismo de proxy, lo que indica la ausencia de un verdadero propósito de protección de la privacidad.
Por tanto, Vault Viper no es simplemente otra campaña maliciosa, sino una plataforma criminal plenamente funcional, camuflada como una solución tecnológica para el juego online. Teniendo en cuenta la escala, la complejidad técnica y los estrechos vínculos con el crimen organizado transnacional, esta infraestructura supone una seria amenaza para la seguridad de los usuarios, los sistemas financieros y la práctica internacional de aplicación de la ley.
¿Estás cansado de que Internet sepa todo sobre ti?