Fui al cine y acabé perdiendo dinero con una casa de apuestas: nos convierten en tráfico para sitios sospechosos
Sospechan que los hackers de Funnull crearon una red mundial para infectar plataformas de streaming de vídeo
Cuando un sitio de películas de pronto comienza a redirigir a sus visitantes a sitios de apuestas y pornográficos, el propietario suele culpar al tema o a la red publicitaria. En el caso de RingH23 la situación es mucho más grave. Se trata de una operación a gran escala detrás de la cual, por indicios técnicos, se encuentra la tristemente célebre agrupación Funnull.
Funnull Technology Inc., registrada en Filipinas, desde hace tiempo figura como proveedora de infraestructura para esquemas fraudulentos en el sudeste asiático. En mayo de 2025, la Oficina de Control de Activos Extranjeros del Departamento del Tesoro de Estados Unidos incluyó a la compañía en la lista de sanciones por apoyar estafas en Internet, incluidas esquemas "de inversión" con pérdidas superiores a 200 millones de dólares. Tras las sanciones, la actividad pública de Funnull prácticamente desapareció. Nuevos datos muestran que el equipo no se ha esfumado, sino que se ha relanzado bajo una nueva cobertura.
En julio, los especialistas de XLab detectaron un archivo ejecutable sospechoso para Linux que se distribuía a través del dominio download.zhw.sh. El análisis mostró que el archivo actúa como cargador y descarga desde el servidor todo un conjunto de componentes: un módulo malicioso para Nginx, un rootkit personalizado, reglas de udev para arraigarse en el sistema y un backdoor. Así se fue formando gradualmente la imagen de un conjunto completo de herramientas para servidores, que recibió el nombre RingH23.
El ataque comienza con la compromisión del nodo de gestión GoEdge. Tras la intrusión, los atacantes acceden por SSH a los servidores de borde e imponen la instalación del cargador. Luego en la máquina aparecen varios módulos con una clara división de funciones. El backdoor, denominado Badredis2s, mantiene comunicación con el centro de control mediante un WebSocket protegido y, si se bloquea, cambia al tunelizado a través de DNS. La configuración se cifra con esquemas XOR y Base64, y el tráfico de red se comprime y cifra adicionalmente con el algoritmo AES.
El módulo Badnginx2s se integra en Nginx como un filtro. A través de él, los atacantes pueden ejecutar comandos, sustituir archivos descargados, inyectar JavaScript malicioso en las páginas, insertar fragmentos de vídeo en flujos M3U8 e incluso cambiar las direcciones de monederos de criptomonedas por las suyas. En el código se encontraron direcciones concretas para Ethereum y Tron a las que se transfieren los fondos de las víctimas.
Un componente separado, Badhide2s, funciona mediante el mecanismo LD_PRELOAD. Oculta procesos, archivos y conexiones de red, y además carga automáticamente el módulo malicioso en Nginx al iniciar el servidor. Para persistir en el sistema se emplea una técnica rara con reglas de udev: cuando aparece una interfaz de red, el sistema ejecuta un script que vuelve a activar el backdoor. Antes, este método solo se había observado en campañas aisladas.
El objetivo principal de la campaña es la redirección masiva de visitantes a sitios ilegales. Los scripts maliciosos se alojan en dominios que imitan bibliotecas populares, por ejemplo cdn.jsdclivr.com o cdnjs.clondflare.com. El pico de actividad en uno de esos dominios se registró a finales de agosto de 2025. Según estimaciones, teniendo en cuenta la fracción del tráfico observado, más de un millón de usuarios en China podrían haber sido redirigidos por día.
El código de los scripts inyectados coincide prácticamente con el que se usó en el ataque a Polyfill.io en 2024 y en una serie de envenenamientos de redes públicas de entrega de contenido. Entonces se vinculó la responsabilidad a Funnull. Coinciden el estilo de ofuscación, la lógica de selección de víctimas e incluso los intervalos temporales para maximizar la conversión. El script comprueba la zona horaria, el tipo de dispositivo y las palabras clave en la página. A los usuarios móviles de la zona horaria de China se les redirige con mayor frecuencia entre las dos y las seis de la mañana, cuando la probabilidad de acciones impulsivas es mayor.
Paralelamente se detectó un segundo canal de infección: a través del sistema de gestión de sitios MacCMS. La comunidad mantiene la versión maccms.la, popular entre propietarios de pequeños sitios de vídeo. En el mecanismo de actualización se encontró la inyección de código malicioso. Al primer acceso al panel administrativo, el servidor envía un archivo PHP oculto que añade el mismo JavaScript malicioso a las páginas. El archivo está disponible solo durante unos minutos, lo que dificulta la investigación. Muchos administradores eliminan el script infectado, pero no detectan el módulo PHP oculto, por lo que el sitio vuelve a infectarse.
La infraestructura de los atacantes también cambió. Los dominios con scripts maliciosos se mudaron masivamente a la plataforma CDN1.AI, registrada en el verano de 2025. El servicio se presenta como una red global de entrega de contenido, pero utiliza el proyecto abierto GoEdge y muestra signos de una administración débil. No hay pruebas directas de vínculo con Funnull; sin embargo, la migración sincronizada de dominios y el modo de uso permiten suponer que CDN1.AI sirve de encubrimiento para la agrupación.
Según los indicios detectados, la infección se confirmó en más de 10.000 direcciones IP, principalmente de sitios de vídeo. Teniendo en cuenta la inyección dinámica de código y la limitada visibilidad del monitoreo, la magnitud real podría ser mayor. Las puertas traseras están activas, y los servidores de control figuran entre los primeros 500.000 sitios según los rankings mundiales de popularidad.