Estratto

Con l’espansione dell’economia digitale, si espande anche l’infrastruttura che consente la criminalità informatica su larga scala, le frodi e la manipolazione finanziaria transnazionale. In prima linea in questa evoluzione c’è FUNNULL , una Content Delivery Network (CDN) legata alla Cina che si è trasformata in uno dei più formidabili abilitatori della criminalità digitale in tutto il mondo. Non più limitata al tradizionale hosting dannoso, FUNNULL opera come una sovrastruttura per la criminalità informatica , sfruttando servizi di cloud computing di alto profilo come Amazon Web Services (AWS) e Microsoft Azure per sostenere hosting a prova di proiettile, truffe finanziarie, riciclaggio di denaro e operazioni di cryptojacking su una scala senza precedenti .

Recenti analisi forensi hanno rivelato che l’infrastruttura di FUNNULL supporta una vasta rete di domini fraudolenti generati algoritmicamente, sofisticate truffe di trading online e sindacati di gioco d’azzardo illeciti , molti dei quali impersonano istituzioni finanziarie legittime. Con oltre 200.000 domini collegati a FUNNULL , il suo ecosistema ha truffato investitori in Europa e Asia, integrandosi perfettamente nelle reti sotterranee di riciclaggio di denaro. Le indagini sulla blockchain indicano inoltre che FUNNULL svolge un ruolo centrale nel riciclaggio di fondi illeciti tramite stablecoin, in particolare USDT (Tether), facilitando crimini finanziari su larga scala.

Forse la cosa più preoccupante è che l’infiltrazione di FUNNULL nelle supply chain software critiche è stata dimostrata con l’acquisizione di polyfill.io, una libreria JavaScript ampiamente utilizzata e incorporata in oltre 110.000 siti web in tutto il mondo. Iniettando codice dannoso in questa libreria legittima , FUNNULL ha trasformato in un’arma le dipendenze software per condurre un attacco alla supply chain su larga scala , impiantando malware, raccogliendo credenziali utente e reindirizzando il traffico verso portali fraudolenti sotto il suo controllo. L’attacco ha esposto migliaia di organizzazioni commerciali e governative a gravi rischi per la sicurezza informatica , dimostrando che la portata di FUNNULL si estende oltre le frodi finanziarie, fino alle tattiche dirette di cyber-spionaggio.

Inoltre, l’infrastruttura di FUNNULL è stata collegata a operazioni di cryptojacking mirate alle agenzie federali statunitensi , tra cui l’ attacco del 2024 all’Agenzia statunitense per lo sviluppo internazionale (USAID) . In questo incidente, gli attacchi password spray e il dirottamento delle risorse cloud tramite Microsoft Azure hanno consentito agli aggressori di estrarre criptovaluta utilizzando risorse informatiche finanziate dal governo, sostenendo oltre $ 500.000 in spese cloud non autorizzate . La metodologia è strettamente allineata alle tattiche di FUNNULL di sfruttare servizi cloud di alta reputazione per eseguire operazioni persistenti di criminalità informatica eludendo il rilevamento.

Nonostante gli sforzi di applicazione globali, FUNNULL continua ad espandere il suo impero criminale informatico , radicandosi sempre più nell’infrastruttura globale e sfruttando le debolezze della sicurezza del cloud, dei quadri normativi e della supervisione finanziaria. La dipendenza della CDN dall’hosting a prova di proiettile, dalla generazione di domini algoritmici e dagli schemi di frode basati sull’intelligenza artificiale sottolinea una nuova era di criminalità informatica, in cui infrastruttura, finanza e inganno digitale convergono per formare una minaccia transnazionale senza pari.

Data la portata e la sofisticatezza delle operazioni di FUNNULL, smantellare questa rete di criminali informatici richiederà sforzi coordinati di sicurezza informatica internazionale, condivisione di intelligence intersettoriale e controlli normativi più severi sulle infrastrutture ospitate nel cloud. Mentre FUNNULL consolida la sua posizione di nodo centrale nell’ecosistema globale della criminalità informatica , non agire in modo deciso consentirà a questa rete clandestina di radicarsi ulteriormente nel tessuto stesso dell’economia digitale , facilitando la criminalità finanziaria, lo spionaggio informatico e i compromessi della catena di fornitura su una scala senza precedenti.

L’ascesa di FUNNULL: un nesso globale di criminalità informatica che facilita frodi finanziarie, cryptojacking e attacchi alla supply chain

Con l’espansione dell’economia digitale, ha preso piede un’infrastruttura parallela e insidiosa, che esiste nel mondo oscuro della criminalità informatica, della frode e della manipolazione finanziaria transnazionale. Questo vasto e sfuggente ecosistema è alimentato da FUNNULL, una Content Delivery Network (CDN) collegata alla Cina che si è rapidamente evoluta in uno dei più formidabili abilitatori della criminalità digitale in tutto il mondo. Sfruttando servizi di cloud computing di alto profilo come Amazon Web Services (AWS) e Microsoft Azure, FUNNULL si è consolidata come una rete ombra, ospitando e facilitando attività illecite su una scala senza precedenti. Oltre a fornire semplicemente servizi di hosting, l’infrastruttura di FUNNULL opera come un facilitatore altamente sofisticato per la criminalità informatica, un nesso di comando e controllo che coordina complesse truffe finanziarie, hosting a prova di proiettile e reti di riciclaggio transnazionali progettate per aggirare il controllo normativo e l’intervento delle forze dell’ordine.

Le implicazioni delle operazioni di FUNNULL vanno ben oltre la tradizionale criminalità informatica. Ciò che lo distingue è la sua perfetta integrazione con domini generati algoritmicamente, un’ampia rete di applicazioni di trading fraudolente e una connessione diretta con sindacati di gioco d’azzardo illeciti. L’ultima analisi forense dell’impronta digitale di FUNNULL ha rivelato che quasi il 95% dei 200.000 domini sotto il suo controllo sono generati tramite Domain Generation Algorithms (DGA), un metodo che le aziende di criminalità informatica utilizzano per mantenere un controllo persistente sulle loro operazioni illecite. A differenza delle reti di malware basate su DGA convenzionali, che generano nomi di dominio casuali per eludere le rimozioni, FUNNULL impiega un approccio più sofisticato, rispecchiando marchi aziendali legittimi, istituzioni finanziarie e piattaforme di trading in un modo che consente ai siti fraudolenti di fondersi perfettamente con controparti genuine.

Tra le scoperte più sorprendenti delle recenti indagini c’è la proliferazione di piattaforme di trading fraudolente e truffe di investimento online sostenute da FUNNULL, molte delle quali impersonano istituzioni finanziarie riconosciute a livello mondiale. Queste piattaforme ingannevoli sono state determinanti nel truffare investitori ignari, in particolare in Europa e Asia, dove le truffe di trading di criptovalute e forex hanno assistito a una crescita esponenziale. Un’analisi forense dell’infrastruttura di FUNNULL ha collegato la CDN a piattaforme di trading fraudolente di alto profilo, tra cui repliche di CME Group, Binance e società finanziarie regionali. Utilizzando tecniche di offuscamento DNS, queste piattaforme fraudolente rimangono online per periodi prolungati, prendendo di mira le vittime attraverso campagne pubblicitarie altamente convincenti e promozioni sui social media prima di scomparire rapidamente, solo per essere sostituite da copie quasi identiche ospitate sotto nuovi domini generati da FUNNULL.

La rapida crescita dell’influenza di FUNNULL nelle frodi finanziarie è ulteriormente esacerbata dai suoi collegamenti con reti transnazionali di riciclaggio di denaro. Un esame approfondito dei canali Telegram collegati all’infrastruttura di FUNNULL ha scoperto numerosi riferimenti a operazioni finanziarie clandestine, tra cui servizi di rimesse illecite e canali di riciclaggio basati su criptovaluta. Ciò suggerisce che FUNNULL non solo facilita la criminalità informatica, ma si sta anche integrando attivamente nel sistema finanziario globale, consentendo il flusso continuo di fondi illeciti attraverso reti bancarie ombra, schemi di riciclaggio basati su stablecoin e scambi di criptovaluta non regolamentati. In particolare, le operazioni collegate a FUNNULL hanno mostrato una forte preferenza per Tether (USDT), la stablecoin frequentemente associata ad attività finanziarie illecite in Asia e Medio Oriente. L’analisi delle transazioni blockchain rivela che migliaia di siti Web di truffe associati a FUNNULL presentano in modo prominente promozioni di Tether, rafforzando ulteriormente la teoria secondo cui questa CDN funge da abilitatore per operazioni di riciclaggio su larga scala.

Oltre ai reati finanziari, l’infrastruttura di FUNNULL svolge anche un ruolo cruciale nella proliferazione di reti di gioco d’azzardo online illegali. I ricercatori che monitorano l’attività della CDN hanno identificato oltre 40.000 domini di gioco d’azzardo mirrorati, la maggior parte dei quali erano strutturati per mirare ai mercati cinese e del sud-est asiatico. Queste piattaforme sono progettate per eludere la supervisione normativa ruotando frequentemente le registrazioni di domini, impiegando sottodomini dinamici e ospitando su spazi IP di alta reputazione affittati da provider compromessi o non regolamentati. Si è scoperto che la maggior parte di questi siti di gioco d’azzardo opera sotto un marchio associato a Suncity Group e ad altri importanti operatori, sollevando interrogativi sulla potenziale collaborazione tra sindacati della criminalità organizzata e l’infrastruttura ombra di FUNNULL.

L’evoluzione dell’infrastruttura di FUNNULL ha preso una piega più oscura nel 2024, quando gli analisti della sicurezza informatica hanno scoperto l’acquisizione di polyfill.io , una libreria JavaScript ampiamente utilizzata e integrata in oltre 110.000 siti Web in tutto il mondo. Iniettando script dannosi nella base di codice legittima di polyfill.io, FUNNULL ha eseguito un attacco alla supply chain su larga scala che ha compromesso migliaia di organizzazioni commerciali e governative. Questo exploit senza precedenti ha consentito ai criminali informatici di raccogliere credenziali utente, impiantare malware e reindirizzare ignari visitatori a portali fraudolenti sotto il controllo di FUNNULL. La capacità di trasformare in arma un componente software ampiamente affidabile ha sottolineato la crescente sofisticatezza delle operazioni di FUNNULL e il suo intento di confondere i confini tra infrastruttura digitale legittima e reti di criminali informatici.

A complicare ulteriormente gli sforzi per smantellare le attività di FUNNULL è il suo affidamento a un hosting a prova di proiettile, una tattica impiegata da provider di servizi malevoli che si rifiutano di ottemperare alle richieste di rimozione. A differenza dei tradizionali servizi di hosting, che collaborano con le forze dell’ordine per rimuovere contenuti illegali, la CDN di FUNNULL si è costruita una reputazione per la sua aggressiva resistenza alle sospensioni di dominio e all’inserimento nella blacklist degli IP. Questa sfida è sottolineata dalla dichiarazione criptica del gruppo stesso: “Dietro un nome carino, c’è una bestia violenta in piedi”. Questa frase, presente nei materiali promozionali di FUNNULL, funge da netto riconoscimento della sua vera natura: una rete progettata non solo per eludere il rilevamento, ma anche per prosperare nell’ombra del mondo digitale.

Nonostante la crescente pressione delle agenzie internazionali di polizia, FUNNULL continua ad ampliare la propria portata, trovando nuovi modi per infiltrarsi nell’infrastruttura digitale globale. La presenza sostenuta di domini collegati a FUNNULL su provider cloud come Microsoft e Amazon indica un fallimento persistente nel rilevamento automatico delle minacce e nella mitigazione dell’abuso di dominio. Analisi recenti suggeriscono che quasi il 40% dei server Point of Presence (PoP) di FUNNULL sono assegnati ad AS8075 (Microsoft Corporation) e AS16509 (Amazon.com Inc.) , dimostrando la portata con cui vengono sfruttate le principali piattaforme cloud. Questo sfruttamento di infrastrutture affidabili ha consentito a FUNNULL di mantenere un accesso ininterrotto all’economia digitale, nonostante i numerosi tentativi di rimozione e le misure di sicurezza in corso da parte delle organizzazioni interessate.

Il futuro delle operazioni di FUNNULL rimane incerto, ma un fatto è estremamente chiaro: non si tratta semplicemente di un’entità di criminalità informatica transitoria, ma piuttosto di un ecosistema in evoluzione che si adatta continuamente alle contromisure imposte dagli sforzi globali di sicurezza informatica. Man mano che il campo di battaglia digitale diventa sempre più complesso, i professionisti della sicurezza, gli enti normativi e gli istituti finanziari devono collaborare su una scala mai vista prima per combattere le minacce multiformi poste da questa rete clandestina. L’ascesa di FUNNULL segnala l’emergere di un nuovo paradigma nella criminalità informatica, in cui infrastrutture, finanza e inganno digitale convergono per formare una minaccia globale senza pari.

Che cosa è FUNNULL?

FUNNULL è una  Content Delivery Network (CDN) collegata alla Cina  . Una CDN è in genere un servizio che aiuta i siti Web a distribuire i contenuti più velocemente memorizzandoli nella cache su server più vicini agli utenti. Ad esempio, se visiti un sito Web ospitato negli Stati Uniti, ma ti trovi in ​​Europa, una CDN servirà i contenuti del sito Web da un server in Europa per velocizzarne il caricamento.

Tuttavia, FUNNULL non utilizza il suo CDN per scopi legittimi. Invece, sfrutta  i principali provider cloud come AWS e Azure  per ospitare  siti Web dannosi  (ad esempio, siti di phishing, false piattaforme di gioco d’azzardo, truffe sugli investimenti). Questi siti Web dannosi vengono utilizzati per rubare denaro, informazioni personali o diffondere malware.

In che modo FUNNULL sfrutta AWS e Azure?

Affitto di indirizzi IP

• FUNNULL noleggia  indirizzi IP  da AWS e Azure. Questi indirizzi IP sono come “indirizzi” per i server su Internet. Ad esempio:
  • AWS ti fornisce un indirizzo IP come  54.239.176.1 quando noleggi un server.
  • FUNNULL utilizza questi IP per ospitare i propri siti web dannosi.

Utilizzo di account rubati o fraudolenti

• FUNNULL non usa account reali. Crea  account falsi  o ruba identità per registrarsi ai servizi AWS e Azure. Questo rende più difficile per AWS e Azure rilevare chi c’è dietro questi account.
  • Esempio: FUNNULL potrebbe utilizzare informazioni di carte di credito rubate o indirizzi email falsi per creare account.

Mappatura degli indirizzi IP sui domini dannosi

• Una volta che FUNNULL ottiene gli indirizzi IP, li collega a  domini fraudolenti  (indirizzi di siti web) utilizzando  i record DNS CNAME  .
  • Un  record CNAME  è come un nickname per un dominio. Ad esempio:
    • Il dominio  fake-bwin.com (un sito di phishing che finge di essere Bwin, una società di gioco d’azzardo) può essere collegato all’indirizzo IP  54.239.176.1.
  • FUNNULL utilizza  gli algoritmi di generazione di domini (DGA)  per creare automaticamente migliaia di domini falsi. Ad esempio:
    • fake-bwin1.com,  fake-bwin2.com,  fake-bwin3.com, ecc.

Hosting di siti Web dannosi

• Questi domini falsi vengono utilizzati per ospitare  siti web dannosi  , come:
  • Siti di phishing  : pagine di accesso false utilizzate da aziende come eBay o Chanel per rubare le credenziali degli utenti.
  • Siti di gioco d’azzardo falsi  : fingono di essere piattaforme di gioco d’azzardo legittime per truffare gli utenti e sottrargli denaro.
  • Truffe sugli investimenti  : promesse di alti rendimenti per indurre le persone a inviare denaro.

Perché AWS e Azure non possono semplicemente vietarli?

AWS e Azure provano a fermare FUNNULL, ma non è facile perché:

Rapido ciclo degli indirizzi IP

• FUNNULL cambia costantemente gli indirizzi IP che usa. Anche se AWS vieta un set di IP, FUNNULL ne affitta rapidamente di nuovi.
  • Esempio: AWS vieta  54.239.176.1, ma FUNNULL inizia immediatamente a utilizzare  54.239.176.2.

Fusione con traffico legittimo

• I siti Web dannosi di FUNNULL si confondono con il traffico legittimo. AWS e Azure ospitano milioni di siti Web, quindi è difficile distinguere quelli buoni da quelli cattivi.
  • Esempio: se AWS blocca tutto il traffico verso  54.239.176.1, potrebbe bloccare accidentalmente un sito web legittimo che condivide lo stesso server.

Verifica dell’account debole

• FUNNULL crea account falsi usando identità rubate o informazioni fraudolente. I processi di verifica degli account di AWS e Azure non sono perfetti, quindi FUNNULL riesce a passare.
  • Esempio: FUNNULL utilizza una carta di credito rubata per creare un account AWS e AWS lo rileva solo in un secondo momento.

Scala globale

• FUNNULL opera a livello globale, il che rende difficile per AWS e Azure coordinarsi con le forze dell’ordine nei diversi paesi.
  • Esempio: FUNNULL affitta IP negli Stati Uniti, ma i criminali che lo gestiscono hanno sede in Cina, il che rende difficile un’azione legale.

Esempio di frode: falso sito web di gioco d’azzardo Bwin

Per spiegare come funziona FUNNULL , esaminiamo un  esempio di frode reale  :

Fase 1: Creazione di un dominio falso

• FUNNULL registra un dominio come  fake-bwin.com (fingendosi il legittimo sito di gioco d’azzardo Bwin).
• Utilizzano un  algoritmo di generazione di domini (DGA)  per creare varianti come  fake-bwin1.com,  fake-bwin2.com, ecc.

Fase 2: Noleggio di un indirizzo IP

• FUNNULL noleggia un indirizzo IP ( 54.239.176.1) da AWS utilizzando un account rubato.
• Collegano questo indirizzo IP al dominio  fake-bwin.com utilizzando un  record CNAME  .

Fase 3: Hosting del sito Web dannoso

• FUNNULL crea un sito web di gioco d’azzardo falso su  fake-bwin.com. Il sito sembra identico al vero sito web di Bwin, ma è progettato per rubare denaro.
  • Esempio: gli utenti depositano denaro nel sito falso, pensando di giocare su Bwin. Tuttavia, il denaro va direttamente sui conti bancari di FUNNULL.

Fase 4: Diffondere il collegamento

• FUNNULL diffonde il collegamento  fake-bwin.com tramite e-mail di phishing, annunci sui social media o annunci sui motori di ricerca.
  • Esempio: ricevi un’e-mail che dice: “Vinci alla grande su Bwin! Clicca qui per giocare ora”. Il link ti porta a  fake-bwin.com.

Fase 5: Rubare denaro

• Quando gli utenti depositano denaro su  fake-bwin.com, FUNNULL lo ruba. Poiché il sito web è ospitato su AWS, sembra legittimo, rendendo più difficile per gli utenti sospettare una frode.

Perché è così difficile fermarlo?

• Velocità delle operazioni
  • FUNNULL può affittare nuovi IP e creare nuovi domini più velocemente di quanto AWS e Azure possano rilevarli e vietarli.
• Utilizzo di provider cloud affidabili
  • Poiché FUNNULL utilizza AWS e Azure, i loro siti Web sembrano affidabili. Molti sistemi di sicurezza non bloccano il traffico da AWS o Azure perché presumono che sia sicuro.
• Tecniche sofisticate
  • FUNNULL utilizza tecniche avanzate come DGA e catene DNS CNAME per nascondere le proprie attività. Ciò rende difficile per gli strumenti di sicurezza informatica tracciarli.

Cosa si può fare per fermare FUNNULL?

• Migliore verifica dell’account
  • AWS e Azure necessitano di controlli di identità più rigorosi per impedire a FUNNULL di creare account falsi.
• Monitoraggio in tempo reale
  • Utilizzare l’intelligenza artificiale e l’apprendimento automatico per rilevare comportamenti sospetti, come rapidi cicli IP o configurazioni DNS insolite.
• Collaborazione tra aziende
  • AWS, Azure e le aziende di sicurezza informatica come Silent Push dovrebbero condividere informazioni sulle attività di FUNNULL per adottare misure coordinate.
• Coinvolgimento delle forze dell’ordine
  • I governi e le forze dell’ordine devono collaborare per bloccare le attività di FUNNULL a livello globale.

FUNNULL sfrutta AWS e Azure affittando indirizzi IP, collegandoli a falsi domini e ospitando siti Web dannosi come siti di phishing e false piattaforme di gioco d’azzardo. Utilizzano account rubati e tecniche avanzate per evitare il rilevamento. Mentre AWS e Azure cercano di fermarli, la velocità, la scala e la sofisticatezza di FUNNULL rendono le cose difficili.

Riepilogo degli esempi di frode  :

• FUNNULL crea un falso sito di gioco d’azzardo ( fake-bwin.com) ospitato su AWS.
• Gli utenti pensano di giocare su Bwin ma perdono soldi a causa di FUNNULL.
• AWS ha difficoltà a vietare FUNNULL perché cambiano continuamente IP e si confondono con il traffico legittimo.

La manipolazione silenziosa: come il CDN di FUNNULL potenzia l’inganno finanziario globale e la frode informatica

Un impero digitale nascosto prospera sotto la superficie dell’infrastruttura Internet globale, un’operazione insidiosa e altamente sofisticata che facilita l’inganno finanziario su una scala senza precedenti. FUNNULL, un’avanzata Content Delivery Network (CDN) collegata alla Cina, si è evoluta ben oltre il suo ecosistema criminale informatico originale, trasformandosi in un robusto meccanismo per applicazioni commerciali fraudolente, schemi finanziari illeciti e reti di inganno che rimodellano continuamente le loro metodologie per eludere il rilevamento. Silenzioso ma onnipresente, FUNNULL si è infiltrato nel nucleo della finanza digitale, sfruttando le fondamenta stesse della connettività globale per eseguire una matrice intricata di frode finanziaria. Questa non è semplicemente una rete, è un’entità vivente e in evoluzione progettata per perpetuare lo sfruttamento finanziario transnazionale proteggendo i suoi autori dalle conseguenze delle loro azioni.

Le prove forensi emergenti illustrano un modello di inganno sostenuto alimentato dall’ampia infrastruttura di FUNNULL, che consente la replica e la diffusione senza soluzione di continuità di applicazioni di trading fraudolente. Le indagini sui record DNS storici rivelano che oltre 200.000 domini collegati al framework di hosting di FUNNULL mostrano modelli di generazione algoritmica indicativi di cicli di dominio ad alta frequenza. Ciò consente agli attori della minaccia di generare e distribuire migliaia di app di trading false che impersonano istituzioni finanziarie legittime, capitalizzando il riconoscimento del marchio per attirare investitori ignari in sofisticate operazioni di truffa. Integrando algoritmi di generazione di dominio (DGA) con record CNAME in rapido cambiamento, FUNNULL garantisce l’esistenza persistente di applicazioni fraudolente, mitigando il rischio di sforzi di rimozione del dominio e di applicazione della legge.

Il panorama finanziario globale è sempre più afflitto da falsi schemi di investimento che sfruttano l’infrastruttura CDN di FUNNULL. All’interno di questo vasto ecosistema, marchi finanziari affermati come Australian Securities Exchange (ASX), Coinbase, CoinSmart, eToro e Nasdaq sono stati costantemente impersonati, con truffatori che costruiscono facciate digitali iperrealistiche che sottraggono fondi a investitori ignari. La sbalorditiva espansione di queste piattaforme ingannevoli, orchestrata attraverso la metodologia di distribuzione rapida di FUNNULL, ha portato a un’esplosione di crimini finanziari, con perdite stimate che superano decine di miliardi di euro in tutto il mondo. L’implementazione di meccanismi di phishing altamente mirati, spesso potenziati da strategie di ingegneria sociale basate sull’intelligenza artificiale, garantisce che le vittime percepiscano le piattaforme fraudolente come legittime opportunità di investimento, rendendole particolarmente vulnerabili alla manipolazione.

Un’analisi più approfondita della struttura di rete di FUNNULL svela un’alleanza preoccupante tra sindacati di criminali informatici e fornitori di infrastrutture che inavvertitamente facilitano le loro operazioni. L’analisi delle distribuzioni dei numeri di sistema autonomo (ASN) di FUNNULL indica che quasi il 40% dei suoi PoP sono ospitati su Microsoft (AS8075) e Amazon (AS16509), sollevando notevoli preoccupazioni sul ruolo delle principali piattaforme cloud nel sostenere questa vasta rete di inganni finanziari. L’offuscamento deliberato dei registri di proprietà, unito all’uso di società fittizie nidificate, complica ulteriormente gli sforzi di attribuzione, consentendo ai criminali informatici di mantenere un accesso ininterrotto all’infrastruttura digitale più potente del mondo, vanificando di fatto gli sforzi delle autorità di regolamentazione per frenare le loro attività.

Oltre alle tradizionali frodi finanziarie, le capacità di hosting di FUNNULL si sono dimostrate inestimabili per le operazioni di riciclaggio di denaro su larga scala. Recenti indagini sulle reti di criminalità finanziaria basate su Telegram hanno scoperto collegamenti diretti tra truffe di trading supportate da FUNNULL e canali di riciclaggio di criptovalute sotterranei, in cui i fondi ottenuti illecitamente vengono sistematicamente incanalati attraverso asset digitali resi anonimi. Queste transazioni, spesso condotte in Tether (USDT), forniscono un mezzo praticamente non tracciabile per il movimento di capitali transfrontaliero, rafforzando ulteriormente il ruolo della CDN di FUNNULL come abilitatore essenziale della criminalità finanziaria transnazionale. Facilitando i trasferimenti istantanei di asset tra giurisdizioni internazionali, FUNNULL consente ai riciclatori di denaro di aggirare i controlli bancari tradizionali, consentendo una nuova era di criminalità finanziaria decentralizzata e algoritmicamente ottimizzata.

Ad aggravare i rischi associati all’ecosistema informatico di FUNNULL è il suo coinvolgimento nella proliferazione di reti di reclutamento di lavoro contraffatte, un settore in rapida espansione di frode informatica che sfrutta piattaforme professionali per reclutare individui ignari in schemi di trading fraudolenti. Sfruttando la tecnologia deepfake e le personalità generate dall’intelligenza artificiale, queste iniziative di reclutamento false forniscono un ulteriore livello di legittimità alle piattaforme di investimento fraudolente, garantendo un afflusso costante di nuove vittime nel quadro operativo di FUNNULL. Una volta inserite, le vittime vengono manipolate per trasferire fondi a piattaforme di trading apparentemente credibili, solo per scoprire che i loro investimenti sono stati incanalati in una complessa rete di conti digitali non rintracciabili gestiti da sindacati di criminali informatici organizzati.

Ulteriori ricerche sui cluster di dominio di FUNNULL hanno rivelato intuizioni allarmanti sulla portata delle sue tattiche di inganno. Analizzando le risoluzioni CNAME attuali e storiche associate alla rete di FUNNULL, gli analisti della sicurezza informatica hanno scoperto una cronologia delle migrazioni di dominio progettate per offuscare le operazioni fraudolente. Dalle prime associazioni CNAME con vk6a2rmn-u.funnull[.]vip nel 2022, passando a 6ce0a6db.u.fn03[.]vip nel 2024, l’incessante evoluzione della struttura di dominio di FUNNULL sottolinea un approccio calcolato all’inganno sostenuto. La capacità di passare senza problemi tra framework di hosting senza interrompere le operazioni fraudolente esemplifica il livello di resilienza progettato nell’infrastruttura di FUNNULL, dimostrando una capacità raffinata di sovvertire le contromisure tradizionali di sicurezza informatica.

Gli sforzi per contrastare l’impatto di FUNNULL sono ostacolati dall’opacità deliberata della sua infrastruttura e dal continuo sfruttamento di ambienti di hosting ad alta attendibilità. A differenza delle reti criminali informatiche convenzionali che si basano su server compromessi o provider di hosting di basso livello, la profonda integrazione di FUNNULL nei principali ecosistemi cloud complica gli sforzi di rimozione, rendendo necessaria una collaborazione avanzata di intelligence sulle minacce tra aziende di sicurezza informatica private, agenzie governative e istituzioni finanziarie. La crescente urgenza di questo problema ha spinto a un maggiore controllo della presenza di FUNNULL all’interno dei quadri di sicurezza informatica globali, tuttavia la mancanza di meccanismi di attribuzione diretta continua a porre sfide significative nello smantellamento efficace della sua rete.

La fase successiva della lotta all’influenza di FUNNULL richiede un radicale cambiamento nell’approccio all’applicazione della legge sui reati informatici finanziari. Sistemi avanzati di rilevamento delle anomalie basati sull’apprendimento automatico, abbinati all’analisi forense della blockchain in tempo reale, devono essere sfruttati per tracciare i flussi finanziari illeciti e interrompere le transazioni fraudolente alla fonte. È inoltre fondamentale una migliore supervisione normativa dei provider di servizi cloud, per garantire che le operazioni di FUNNULL non possano continuare senza controllo all’interno di ambienti di hosting legittimi. L’implementazione di quadri giuridici mirati che criminalizzano la facilitazione delle frodi informatiche attraverso partnership di infrastrutture digitali sarà determinante nello smantellamento dei principali abilitatori di questa vasta rete di inganni.

Mentre FUNNULL continua la sua rapida espansione, le implicazioni della sua esistenza si estendono ben oltre la criminalità informatica tradizionale. Ciò che è iniziato come un CDN relativamente oscuro che ospitava applicazioni di trading fraudolente si è trasformato in un vasto sindacato di criminalità finanziaria guidato da algoritmi, che sta rimodellando il panorama globale delle minacce alla sicurezza informatica. La necessità di una risposta coordinata e multigiurisdizionale alle operazioni di FUNNULL è più urgente che mai, poiché il futuro della sicurezza finanziaria dipende dalla capacità di smantellare questa infrastruttura criminale informatica altamente adattabile e profondamente radicata.

Il velo aziendale di FUNNULL: smascherare il nesso tra criminalità informatica, sindacati del gioco d’azzardo e riciclaggio finanziario

Sotto la superficie dell’economia digitale globale, prospera una rete clandestina, che si estende ben oltre la tradizionale attività criminale informatica, inserendosi nei sistemi finanziari regolamentati e sfruttando infrastrutture ad alta affidabilità per perpetuare inganni finanziari su larga scala. FUNNULL, una famigerata Content Delivery Network (CDN) legata alla Cina, è emersa come spina dorsale di un elaborato schema che interseca piattaforme digitali fraudolente, reti di gioco d’azzardo illecite e sofisticati sindacati di riciclaggio di denaro. Questo non è semplicemente un caso di opportunismo criminale; piuttosto, rappresenta l’ingegneria calcolata di un’infrastruttura ombra progettata per manipolare il flusso di capitale digitale oscurando la vera identità dei suoi beneficiari.

Le recenti indagini forensi sul branding aziendale di FUNNULL rivelano un modello operativo multiforme che si rivolge esplicitamente alle organizzazioni che cercano anonimato, hosting di domini di massa e meccanismi di offuscamento resilienti. L’entità si pubblicizza attraverso più URL, tra cui funnull[.]com e funnull[.]io , entrambi i quali fungono da punti di ingresso in un ecosistema labirintico di servizi di hosting ad alta velocità, infrastrutture a prova di proiettile e gestione di domini di massa. Le istantanee storiche dell’entità madre di FUNNULL, ACB Group, precedentemente ospitata su acb[.]bet , offrono uno sguardo a una facciata aziendale attentamente curata, che si affilia pubblicamente a scommesse sportive e iniziative di gioco online, facilitando discretamente frodi finanziarie globali. Sebbene il sito aziendale originale sia stato da allora messo offline, i registri archiviati forniscono prove schiaccianti delle alleanze strategiche di FUNNULL con settori ad alto rischio, in particolare nei settori del gioco d’azzardo e delle banche offshore.

Una dimensione ancora più allarmante delle operazioni di FUNNULL emerge dall’analisi della sua distribuzione infrastrutturale in Cina. I dati recuperati da HUIDU , un archivio di intelligence per l’industria del gioco online, confermano che FUNNULL mantiene oltre 30 data center attivi nella Cina continentale, una giurisdizione tristemente nota per la sua rigorosa supervisione normativa delle transazioni finanziarie e delle imprese digitali. Nonostante l’aggressiva repressione di Pechino sulle reti finanziarie non autorizzate, FUNNULL si è radicata con successo nell’economia digitale del paese, utilizzando strutture server automatizzate ad alta sicurezza per facilitare un flusso continuo di capitale illecito attraverso i confini. Ciò solleva questioni critiche sui punti ciechi normativi e sui potenziali interessi allineati allo stato che potrebbero proteggere FUNNULL dalle interruzioni, consentendole di prosperare nonostante la sua ben documentata associazione con operazioni finanziarie illecite.

Un’ulteriore analisi del modello di prezzo di FUNNULL espone una struttura aziendale altamente non ortodossa, che è esplicitamente su misura per le organizzazioni impegnate in tattiche di manipolazione e offuscamento di domini di massa. A differenza dei provider CDN convenzionali, che danno priorità all’ottimizzazione della distribuzione di contenuti legittimi, i livelli di prezzo di FUNNULL sono strutturati in modo unico per incentivare le registrazioni di domini di massa, offrendo tariffe scontate dell’80% per i clienti che gestiscono 50 domini o più . Questa configurazione è particolarmente vantaggiosa per le aziende di criminalità informatica che si affidano agli algoritmi di generazione di domini (DGA) per creare migliaia di domini fraudolenti, assicurando che le loro operazioni rimangano resilienti contro la blacklist dei domini e le richieste di rimozione delle forze dell’ordine. Integrando il ciclo di dominio ad alta frequenza con un framework avanzato di offuscamento DNS, FUNNULL ha effettivamente annullato le contromisure tradizionali per la sicurezza informatica, consentendo ai suoi clienti di operare su una scala di inganno senza precedenti.

Una delle rivelazioni più importanti delle recenti ricerche è il profondo intreccio tra FUNNULL e Suncity Group , un operatore di junket con sede a Macao ormai defunto con una storia documentata di crimini finanziari transnazionali. Gli investigatori di Silent Push hanno scoperto che migliaia di siti web di gioco d’azzardo online ospitati sull’infrastruttura di FUNNULL presentano in modo prominente il marchio di Suncity Group, sollevando preoccupazioni sulla potenziale collusione tra la CDN e i resti dell’impero finanziario illecito di Suncity. Questa connessione è particolarmente dannosa dato che l’ex CEO di Suncity, Alvin Chau, è stato condannato a 18 anni di prigione nel 2023 per il suo ruolo in una vasta operazione di riciclaggio di denaro che ha incanalato fondi illeciti attraverso reti bancarie sotterranee, riciclando circa 40 miliardi di dollari nell’arco di un decennio.

L’ Ufficio delle Nazioni Unite contro la droga e il crimine (UNODC) ha da allora collegato l’apparato finanziario di Suncity Group a Lazarus Group , un sindacato di criminalità informatica sponsorizzato dallo stato nordcoreano noto per aver eseguito alcuni degli attacchi informatici finanziari più devastanti della storia moderna. Tra gli elementi più sorprendenti di questa rivelazione c’è il fatto che Lazarus Group avrebbe riciclato 19 milioni di dollari USA tramite reti affiliate a Suncity, sfruttando le piattaforme di gioco d’azzardo online come canale per transazioni illecite di criptovaluta. Un confronto forense tra i report di intelligence finanziaria dell’UNODC e il set di dati di Silent Push sui domini ospitati da FUNNULL rivela sovrapposizioni sbalorditive nell’infrastruttura del sito , il che suggerisce che elementi dell’ex impronta digitale di Suncity sono stati riutilizzati sotto l’ombrello di FUNNULL per continuare a facilitare i crimini finanziari sotto una nuova veste.

Una prova particolarmente schiacciante a sostegno del coinvolgimento di FUNNULL in reati finanziari emerge dall’esame forense dei record CNAME storici collegati alla sua infrastruttura. Gli analisti di Silent Push hanno identificato una cronologia di migrazioni sistematiche di dominio, a partire da vk6a2rmn-u.funnull[.]vip all’inizio del 2022, passando a vk6a2rmn-u.funnull01[.]vip entro la metà del 2023 e infine passando a 6ce0a6db.u.fn03[.]vip nel 2024. Questa strategia di migrazione meticolosamente strutturata riflette un tentativo deliberato di eludere i meccanismi di blocco basati sul dominio mantenendo al contempo la continuità operativa per le operazioni finanziarie illecite.

Inoltre, la capacità di FUNNULL di rimanere operativa nonostante gli sforzi di applicazione globali sottolinea la sua dipendenza da metodologie di hosting a prova di proiettile , una tattica comunemente impiegata dalle aziende di criminalità informatica che cercano resilienza contro le richieste di rimozione legali. A differenza dei legittimi provider CDN, che rispettano i quadri normativi internazionali, FUNNULL ha resistito attivamente alle misure di conformità, come dimostrato dalla sua mancanza di un processo ufficiale di richiesta di rimozione . Questa omissione deliberata suggerisce fortemente che FUNNULL opera in una posizione di conformità ostile , posizionandosi come un facilitatore di frodi finanziarie piuttosto che un fornitore di distribuzione di contenuti convenzionale.

A complicare ulteriormente le cose, i dati di risoluzione DNS in tempo reale di Silent Push indicano che l’infrastruttura di hosting di FUNNULL si è infiltrata nei provider cloud di livello 1 , con quasi il 40% dei suoi punti di presenza (PoP) residenti in Microsoft (AS8075) e Amazon (AS16509) . La presenza di nodi FUNNULL all’interno di questi ambienti cloud ad alta affidabilità evidenzia un fallimento sistemico nei meccanismi di rilevamento automatico delle minacce , consentendo alle operazioni finanziarie illecite di persistere inosservate all’interno dei provider di servizi Internet più affidabili al mondo. Ciò solleva urgenti preoccupazioni sull’efficacia del monitoraggio automatico degli abusi , poiché le tradizionali politiche di governance del cloud hanno dimostrato di non essere riuscite a mitigare l’espansione di FUNNULL all’interno di infrastrutture globali critiche.

La portata dell’impatto di FUNNULL richiede una radicale rivalutazione delle contromisure di sicurezza informatica. Le future strategie di mitigazione devono integrare analisi comportamentali, tracciamento forense blockchain e modelli avanzati di attribuzione di dominio basati sull’intelligenza artificiale per interrompere il quadro operativo di FUNNULL. Gli enti normativi devono dare priorità ai requisiti di trasparenza obbligatori per gli operatori CDN , assicurando che reti come FUNNULL non possano continuare a operare sotto le mentite spoglie di legittimi servizi di distribuzione di contenuti. Inoltre, le misure di vigilanza finanziaria transfrontaliera devono essere intensificate per combattere la proliferazione di schemi di riciclaggio basati su stablecoin , che sono stati identificati come un fattore chiave per i crimini finanziari facilitati da FUNNULL.

Man mano che l’indagine sul framework aziendale di FUNNULL si approfondisce, diventa sempre più chiaro che l’entità rappresenta molto più di un fornitore di CDN non autorizzato. È una pietra angolare di un sindacato di criminalità finanziaria transnazionale , che prospera su punti ciechi normativi, opacità aziendale e la sofisticata militarizzazione dell’infrastruttura digitale. La sfida di smantellare la rete di FUNNULL è monumentale, ma non farlo non farà che incoraggiare la prossima generazione di imprese di criminalità informatica a sfruttare le stesse vulnerabilità, perpetuando un ciclo in continua espansione di criminalità finanziaria digitale.

Il nesso globalizzato tra viaggi nei casinò, riciclaggio di denaro e criminalità finanziaria transnazionale

L’evoluzione della criminalità finanziaria ha raggiunto livelli di sofisticazione senza pari, con l’industria dei junket nei casinò che emerge come uno dei veicoli più formidabili per il riciclaggio di denaro transnazionale. Nell’ultimo decennio, l’espansione delle operazioni di junket nell’Asia orientale e sud-orientale ha fornito un ecosistema dinamico per l’integrazione di fondi illeciti nell’economia legittima, offrendo un meccanismo strutturato che consente la circolazione senza soluzione di continuità del capitale sovvertendo al contempo la tradizionale supervisione finanziaria. Analizzando le ultime informazioni sui crimini finanziari basati sui junket, diventa evidente che queste operazioni funzionano come la spina dorsale delle reti bancarie sotterranee, consentendo ai sindacati della criminalità organizzata di aggirare i quadri normativi, sfruttare le scappatoie finanziarie e consolidare il loro dominio sui flussi di capitale illeciti.

Figura: Modello semplificato di trasferimento informale di denaro tramite accordo di compensazione di viaggi in casinò

Fonte: elaborazione dell’UNODC basata su ampie consultazioni con funzionari regionali delle forze dell’ordine e dell’intelligence finanziaria, 2023.

Il modello junket si è evoluto dalle sue origini come servizio di gioco esclusivo per individui ad alto patrimonio netto in una rete intricata di sotterfugi finanziari. Gli operatori junket non si limitano più a reclutare giocatori VIP; si sono trasformati in intermediari finanziari che forniscono servizi che si estendono ben oltre il settore del gioco d’azzardo. Questi servizi includono l’emissione di credito, il sistema bancario clandestino, reti di rimesse non regolamentate e accordi finanziari multivaluta. Attraverso questi meccanismi, i junket operano effettivamente come istituzioni finanziarie senza licenza, aggirando il sistema bancario formale e facilitando operazioni di riciclaggio di denaro su larga scala .

L’ uso improprio del finanziamento junket presenta una delle vulnerabilità più allarmanti nel sistema finanziario globale. A differenza delle tradizionali metodologie di riciclaggio di denaro, che si basano sul contrabbando di denaro contante in grandi volumi o sui trasferimenti illeciti, il riciclaggio basato sui junket sfrutta il legittimo settore del gioco d’azzardo per oscurare l’origine dei fondi. Questo processo in genere comporta tre fasi critiche:

• Collocamento: i proventi illeciti vengono introdotti nei conti correnti dei casinò sotto le mentite spoglie di depositi per il gioco d’azzardo.
• Stratificazione: i fondi vengono distribuiti tra più operazioni di junket, spesso tramite transazioni di gioco d’azzardo ad alto rischio, complicando così la tracciabilità.
• Integrazione: una volta elaborati attraverso molteplici circuiti di distribuzione, i fondi illeciti rientrano nell’economia legittima tramite vincite, accordi di “investimento” o meccanismi di rimpatrio strutturati.

La struttura intrinseca delle reti finanziarie dei casinò junket le rende particolarmente vulnerabili agli abusi. Gli operatori dei junket mantengono un accesso privilegiato alle divisioni di tesoreria dei casinò, consentendo loro di facilitare i depositi di “custodia” , in cui ingenti somme di denaro, spesso sotto forma di fiches del casinò, vengono conservate e prelevate in un secondo momento senza una traccia di controllo formale. Recenti indagini sugli scandali dei junket su larga scala hanno rivelato che le principali società di junket hanno ulteriormente perfezionato questo processo attraverso modelli di investimento , in cui a individui con un elevato patrimonio netto vengono promessi redditizi rendimenti mensili in cambio dei loro depositi. Questi schemi di “investimento”, spesso operanti al di fuori di quadri normativi formali, hanno di fatto trasformato le società di junket in canali finanziari ad alto rendimento che rivaleggiano con l’ambito operativo dei servizi bancari offshore illeciti.

Le carenze normative e l’arbitraggio giurisdizionale hanno esacerbato le vulnerabilità insite nel sistema dei junket. Nonostante la repressione degli operatori dei junket nella SAR di Macao, dove le riforme normative hanno ridotto drasticamente il numero di junket autorizzati da 235 nel 2013 a soli 18 nel 2024 , il settore si è rapidamente trasferito in giurisdizioni più permissive, in particolare in Cambogia, Filippine e Myanmar. La proliferazione di hub di casinò poco regolamentati in queste regioni ha favorito un ambiente in cui le reti di riciclaggio di denaro operano con una quasi totale impunità. Nelle Filippine, ad esempio, la mancanza di una rigorosa supervisione ha consentito agli operatori dei junket di riciclare 81 milioni di dollari USA rubati alla Banca centrale del Bangladesh tramite il Solaire Hotel and Casino , uno schema direttamente collegato ai criminali informatici sponsorizzati dallo Stato.

Figura: Modello semplificato del ciclo di vita del junket e del suo uso improprio da parte della criminalità organizzata

Nota: sia i giocatori di junket che gli esattori di denaro che cercano servizi bancari clandestini e/o di riciclaggio di denaro tramite gli operatori di junket possono trasferire fondi direttamente nei conti detenuti dagli operatori di junket che sono stati istituiti dai casinò partner. Gli operatori di junket “compenseranno” l’importo addebitato ricevuto in una giurisdizione e accrediteranno l’importo corrispondente in un’altra. – Fonte: Ampie consultazioni con funzionari regionali delle forze dell’ordine e dell’intelligence finanziaria, 2023 .

La ricollocazione strategica delle operazioni di junket ha anche alimentato un’espansione di sindacati criminali, in particolare nella regione del Mekong , dove una convergenza tra riciclaggio basato su junket, mercati finanziari illeciti e criminalità organizzata ha portato a un aumento esponenziale dell’attività bancaria sommersa . Le agenzie di polizia hanno osservato che la criminalità finanziaria legata ai casinò è ora intrinsecamente legata a sindacati di traffico di droga, imprese di frode informatica e operazioni di tratta di esseri umani , poiché i proventi illeciti di questi crimini sono perfettamente integrati nei cicli finanziari di junket.

Un’area di crescente preoccupazione è l’ integrazione delle transazioni in criptovaluta nelle operazioni junket . Gli operatori junket hanno fatto sempre più affidamento sulle valute digitali, in particolare Tether (USDT), per facilitare le transazioni transfrontaliere eludendo al contempo i tradizionali controlli antiriciclaggio (AML). L’adozione del riciclaggio basato su stablecoin ha trasformato il settore junket in un canale primario per i reati finanziari basati su asset digitali. Le indagini degli enti di regolamentazione indicano che gli operatori junket autorizzati nelle Filippine pubblicizzano apertamente servizi di cambio di criptovaluta , consentendo a individui con un patrimonio netto elevato e alle imprese criminali di convertire senza problemi denaro illecito in asset digitali che possono essere trasferiti tra giurisdizioni con una supervisione normativa minima.

L’ uso di scommesse moltiplicatrici e di offuscamento delle transazioni ad alta frequenza ha ulteriormente complicato gli sforzi per tracciare i flussi finanziari illeciti all’interno dell’ecosistema junket. In questo modello, una scommessa formalmente registrata in un casinò rappresenta solo una frazione della scommessa effettiva piazzata tra gli operatori junket e i giocatori. Questo sistema non solo consente l’evasione fiscale e la falsa dichiarazione dei ricavi, ma funge anche da metodo altamente efficace per nascondere movimenti finanziari su larga scala , rendendo praticamente impossibile per i regolatori determinare la vera portata del flusso di capitale all’interno del settore.

Diversi importanti scandali finanziari legati ai junket hanno evidenziato l’allarmante portata dei reati finanziari associati a queste operazioni. In Australia, l’ inchiesta del Crown Casino ha rivelato che gli operatori dei junket legati al cartello della droga Sam Gor e alla triade 14K hanno riciclato miliardi tramite programmi VIP dei casinò . L’inchiesta ha scoperto che tra il 2015 e il 2020, il programma VIP del Crown Melbourne ha generato oltre 220 miliardi di dollari australiani (162 miliardi di dollari USA) di fatturato , una parte significativa dei quali era legata ai reati finanziari legati ai junket. Ulteriori procedimenti legali hanno portato il Crown ad accettare di pagare 450 milioni di dollari australiani di sanzioni AML dopo essere stato ritenuto colpevole di 546 violazioni delle leggi antiriciclaggio .

Nel frattempo, l’ indagine sulla rapina alla Bangladesh Bank ha confermato che una parte sostanziale dei fondi rubati è stata convogliata tramite operatori di junket nelle Filippine, utilizzando conti di casinò per oscurare la traccia del denaro . Sfruttando accordi di compensazione , i riciclatori di denaro hanno effettivamente convertito i beni rubati in fiches da casinò, che sono state poi scambiate con crediti junket, eliminando di fatto la tracciabilità dei fondi. Le autorità di regolamentazione filippine hanno successivamente identificato più di 170 milioni di USD in transazioni sospette associate a flussi finanziari collegati a junket solo nel 2022.

Le debolezze sistemiche nella regolamentazione del settore dei junket hanno facilitato livelli senza precedenti di riciclaggio di denaro transfrontaliero , spingendo a richieste urgenti di riforma internazionale. L’assenza di standard uniformi di licenza, trasparenza della proprietà effettiva e obblighi di rendicontazione finanziaria nelle giurisdizioni con un elevato numero di junket ha consentito alle imprese criminali di sfruttare i punti ciechi normativi. L’espansione di schemi di finanziamento multipartitico dei junket, strutture opache di deposito di denaro e transazioni di criptovaluta di alto valore rappresenta una sfida significativa per i quadri AML globali, rendendo necessaria una revisione completa degli attuali meccanismi di controllo .

Per contrastare la crescente minaccia rappresentata dai reati finanziari legati ai junket, le autorità devono implementare contromisure normative aggressive , tra cui il monitoraggio delle transazioni in tempo reale, una due diligence rafforzata per le attività finanziarie dei casinò e una rigorosa applicazione degli obblighi di segnalazione delle criptovalute . L’implementazione di iniziative di condivisione di intelligence finanziaria transfrontaliera sarà fondamentale per smantellare le reti finanziarie che sostengono le operazioni illecite dei junket. Il futuro dell’applicazione della legge sui reati finanziari dipenderà dalla capacità degli enti di regolamentazione, delle forze dell’ordine e degli istituti finanziari di interrompere i sofisticati meccanismi finanziari che sostengono il riciclaggio di denaro basato sui junket.

Il modello di Vancouver: un modello transnazionale per il riciclaggio di denaro e la criminalità finanziaria nei casinò

La globalizzazione dei reati finanziari ha dato origine a sofisticate metodologie di riciclaggio di denaro transfrontaliero, con il modello di Vancouver che emerge come uno dei meccanismi più intricati e resilienti che facilitano i flussi finanziari illeciti. Questo modello, raffinato e ampliato da sindacati della criminalità organizzata transnazionale, integra elementi delle tradizionali reti hawala con strategie di riciclaggio contemporanee basate sui casinò, consentendo il rapido spostamento dei proventi criminali tra le giurisdizioni. Il quadro operativo del modello si estende oltre le sue origini canadesi, con adattamenti confermati in Australia, Asia sud-orientale ed Europa, sottolineando la crescente interconnettività dei sistemi finanziari illeciti.

In sostanza, il modello di Vancouver svolge due funzioni principali: aggirare le restrizioni alla fuga di capitali e riciclare i proventi illeciti derivanti da imprese criminali. Sfruttando transazioni di casinò ad alto volume, reti bancarie clandestine e soluzioni di pagamento digitale, le organizzazioni criminali che impiegano questo metodo offuscano con successo le origini dei fondi illeciti, garantendo al contempo un’integrazione fluida nei sistemi finanziari legittimi. Il processo operativo si svolge in genere in una sequenza a più livelli:

• Iniziazione nella giurisdizione X: un individuo, spesso una persona con un patrimonio elevato che cerca di eludere le restrizioni all’esportazione di capitali, trasferisce ingenti somme di denaro a un’organizzazione criminale organizzata nel proprio paese di origine.
• Rete di riciclaggio di denaro tramite intermediari: l’organizzazione criminale, che opera attraverso un’infrastruttura bancaria sotterranea parallela, facilita un pagamento corrispondente a un sindacato affiliato nella giurisdizione Y. Questi fondi provengono da attività illecite, tra cui traffico di droga, evasione fiscale e frode informatica.
• Offuscamento basato sul casinò: il destinatario nella giurisdizione Y riceve i fondi, in genere sotto forma di denaro contante in grandi quantità, ed entra in un casinò noto per il suo ambiente finanziario ad alto rischio. L’individuo acquista fiches da gioco, piazza scommesse nominali e successivamente incassa, trasformando i proventi illeciti in vincite di gioco apparentemente legittime.
• Integrazione nel sistema finanziario: con assegni emessi dal casinò o prelievi di contanti in mano, l’individuo deposita i fondi riciclati in istituti finanziari regolamentati, inserendo con successo i proventi nell’economia legale.

Le vulnerabilità strutturali sfruttate dal Modello di Vancouver sono state ampiamente documentate attraverso indagini internazionali sul riciclaggio di denaro, in particolare la Commissione Cullen in Canada , che ha fornito prove concrete di reti criminali organizzate transnazionali che si infiltravano nei settori finanziario e dei casinò. L’indagine ha rivelato un fallimento sistemico nella supervisione normativa, consentendo a milioni di dollari di essere convogliati attraverso i casinò della British Columbia tra il 2008 e il 2018 , con sindacati criminali che utilizzavano conti di gioco ad alto limite per elaborare fondi illeciti. In particolare, l’intelligence delle forze dell’ordine ha confermato il coinvolgimento di cartelli della droga messicani e sudamericani , i cui proventi venivano convogliati attraverso hub finanziari canadesi prima di essere ridistribuiti a livello globale.

L’espansione del modello di Vancouver oltre il Canada evidenzia la sua adattabilità a diversi contesti normativi. In Australia , le autorità hanno scoperto vaste operazioni di sindacati criminali che utilizzano metodologie simili, con l’ agenzia AUSTRAC del paese che ha identificato molteplici casi di transazioni di alto valore in casinò collegati a reti bancarie clandestine cinesi. I rapporti indicano che gruppi di criminalità organizzata hanno facilitato lo spostamento di miliardi di dollari tramite operatori di junket, sfruttando i deboli meccanismi di rendicontazione finanziaria e i punti ciechi normativi dei programmi di gioco VIP.

Oltre alle giurisdizioni occidentali, la proliferazione del Modello Vancouver nel Sud-est asiatico presenta una sfida ancora più complessa a causa dell’elevata concentrazione di casinò e operatori di junket sottoregolamentati nella regione. Le informazioni raccolte dalle agenzie di polizia internazionali suggeriscono che i principali hub dei casinò in Cambogia, Myanmar e Filippine sono diventati i principali facilitatori del riciclaggio di denaro transnazionale , con imprese criminali che replicano il Modello Vancouver per elaborare fondi illeciti su scala industriale.

Il ruolo dei Junket e delle reti bancarie sotterranee

L’efficacia del modello di Vancouver è notevolmente migliorata dall’operazione parallela di reti di junket, che funzionano come intermediari finanziari ad alto rischio tra giocatori d’azzardo ad alto patrimonio netto e gestori di casinò. I junket non solo facilitano lo spostamento di fondi tra giurisdizioni, ma forniscono anche un’infrastruttura critica per le operazioni bancarie clandestine, tra cui l’emissione di credito, i servizi di rimessa non regolamentati e le piattaforme di regolamento multivaluta . Le indagini su questi canali finanziari hanno rivelato i seguenti meccanismi operativi:

• Estensione del credito di alto valore: gli operatori di junket offrono ai giocatori linee di credito sostanziali senza sottoporsi a un controllo finanziario formale, consentendo di fatto ai fondi provenienti da fonti illecite di entrare nel sistema dei casinò senza essere sottoposti a contestazioni.
• Transazioni stratificate e moltiplicazione delle puntate: una strategia comune consiste nel piazzare puntate minime mentre si distribuiscono le fiches tra più giocatori, gonfiando artificialmente il fatturato e creando l’illusione di un’attività di gioco legittima.
• Accordi di compensazione: un sofisticato metodo di riciclaggio in cui gli operatori di casinò organizzano transazioni finanziarie transfrontaliere tramite accordi di compensazione, evitando completamente i sistemi bancari tradizionali.
• Riciclaggio di criptovalute: una tendenza in crescita in cui le reti di casinò clandestini integrano valute digitali, in particolare Tether (USDT), per aggirare la supervisione finanziaria, consentendo transazioni istantanee e non tracciabili in tutte le giurisdizioni.

In uno dei più significativi casi di reati finanziari legati ai junket, le autorità cinesi hanno incriminato cinque individui nel dicembre 2020 per aver orchestrato operazioni di gioco d’azzardo illegali mentre agivano come rappresentanti di importanti società di junket, tra cui Suncity e Tak Chun . Questi individui hanno facilitato il movimento illecito di oltre 170 milioni di RMB (circa 27 milioni di $ USD) tramite conti junket transnazionali, esponendo il profondo radicamento di schemi di riciclaggio di denaro all’interno del settore. Ulteriori indagini forensi hanno collegato questi flussi finanziari illeciti ai casinò con sede nel Triangolo d’Oro , noti per i loro legami storici con i sindacati del traffico di droga e le reti bancarie sotterranee.

Figura: “Modello Vancouver” per il riciclaggio di denaro attraverso i casinò della British Columbia – Fonte: Commissione d’inchiesta Cullen sul riciclaggio di denaro nella British Columbia.

Sfruttamento strategico delle debolezze normative

La capacità del Vancouver Model di persistere in tutte le giurisdizioni è in gran parte attribuibile a carenze normative e meccanismi di applicazione incoerenti . Diverse debolezze chiave sono state sfruttate sistematicamente per facilitare la criminalità finanziaria su larga scala:

• Inadeguata supervisione dei casinò: molte giurisdizioni non prevedono requisiti rigorosi di due diligence per le transazioni tra giocatori d’azzardo di alto livello, consentendo alle organizzazioni criminali organizzate di operare all’interno di programmi di gioco VIP con un controllo minimo.
• Mancanza di cooperazione intergiurisdizionale: la natura transnazionale del modello di Vancouver complica gli sforzi di applicazione della legge, poiché molte operazioni di riciclaggio coinvolgono transazioni finanziarie che abbracciano più contesti normativi.
• Esenzioni dalle normative antiriciclaggio: diverse giurisdizioni del Sud-Est asiatico, tra cui Cambogia e Filippine , hanno storicamente esentato i casinò dagli obblighi di segnalazione antiriciclaggio, creando terreno fertile per attività finanziarie illecite.
• Utilizzo di intermediari finanziari: gli operatori di junket e i facilitatori di attività bancarie clandestine fungono da intermediari tra i casinò e i finanziatori illeciti, proteggendo i riciclatori di denaro dall’esposizione diretta alle istituzioni finanziarie.

L’urgenza di una risposta normativa globale

La persistenza e l’espansione del modello di Vancouver sottolineano la necessità critica di un quadro normativo globalizzato in grado di contrastare la criminalità finanziaria transnazionale . Le autorità devono implementare severe misure di conformità AML, accordi di condivisione di intelligence transfrontalieri e sistemi di monitoraggio delle transazioni migliorati per rilevare e interrompere i flussi finanziari illeciti. Un controllo più approfondito delle operazioni di junket dei casinò, delle reti bancarie clandestine e dei metodi di riciclaggio basati sulle criptovalute è essenziale per mitigare il rischio continuo rappresentato da questi sofisticati modelli di criminalità finanziaria.

Senza una risposta decisa e coordinata, il modello di Vancouver continuerà a evolversi, radicandosi ulteriormente nell’infrastruttura finanziaria globale e consentendo alle imprese criminali di operare impunemente. La comunità internazionale deve agire con decisione per smantellare i meccanismi che sostengono questa vasta rete transnazionale di riciclaggio prima che si radica in modo permanente nei sistemi finanziari mondiali.

L’architettura digitale della criminalità finanziaria: integrazione di Suncity Group con FUNNULL e reti di riciclaggio di criptovalute

La convergenza di infrastrutture finanziarie digitali, sindacati di gioco d’azzardo illecito e meccanismi di riciclaggio basati su blockchain ha dato origine a un ecosistema avanzato di criminalità finanziaria transnazionale. Al centro di questo fenomeno si trova la relazione profondamente integrata tra Suncity Group, la rete di distribuzione dei contenuti (CDN) di FUNNULL e l’uso crescente di Tether (USDT) per il riciclaggio di denaro transfrontaliero. L’analisi forense ha rivelato una struttura ben orchestrata che collega operazioni di gioco d’azzardo online illecite, reti di siti Web abilitate da algoritmi di generazione di domini (DGA) e piattaforme di pagamento basate su criptovaluta. Questa matrice finanziaria emergente consente ai sindacati della criminalità organizzata di offuscare i proventi illeciti sfruttando al contempo l’infrastruttura digitale resiliente di FUNNULL per la persistenza operativa.

Recenti rapporti di intelligence confermano che la sola infrastruttura digitale di Suncity Group contava oltre 6.500 nomi host generati da DGA , una cifra che suggerisce un meccanismo altamente automatizzato e scalabile per il lancio e la manutenzione di siti Web di gioco d’azzardo illecito e frode finanziaria. Una delle principali scoperte di questa indagine è la presenza di domini secondari incorporati nell’architettura di queste piattaforme di gioco d’azzardo. Un’analisi di un noto dominio affiliato a Suncity, t25556[.]com, ha rivelato la presenza di un meccanismo di reindirizzamento nascosto che indirizza gli utenti tramite threevip[.]cc/?u=6289[.]com , che alla fine porta a 15991t[.]com/ , che funge da aggregatore per più mirror di gioco d’azzardo attivi.

Uno degli elementi più critici di questa infrastruttura è la sua integrazione con i repository GitHub che contengono il codice sorgente di centinaia di applicazioni sospette di gioco d’azzardo , tra cui diversi marchi osservati che operano tramite FUNNULL. Questa scoperta indica fortemente che molti dei siti di gioco d’azzardo all’interno di questa rete sono stati derivati ​​da un modello comune o potenzialmente sviluppati dalla stessa entità . I ​​repository, ospitati sotto l’utente GitHub “xianludh”, contengono modelli che fanno riferimento a marchi direttamente collegati all’infrastruttura di gioco d’azzardo di Suncity. Nonostante sia disponibile al pubblico da oltre tre anni, questa base di codice continua a essere rilevante, suggerendo uno sforzo continuo per perfezionare e distribuire siti di gioco d’azzardo utilizzando la CDN di FUNNULL.

L’esame forense del campo helper_link nei siti web Suncity ospitati da FUNNULL fornisce prove dirette di collegamenti tra queste operazioni e repository basati su GitHub. Uno di questi repository contiene script e modelli front-end per siti web che rispecchiano le note operazioni di gioco d’azzardo del Suncity Group. Il repository su github[.]com/xianludh/xianlu/tree/master/xiufu/741 ospita configurazioni ed elementi che, pur non essendo identici ai siti Suncity attualmente attivi, sembrano essere precursori di versioni più recenti di portali di gioco d’azzardo illecito.

Un’ulteriore analisi dell’infrastruttura di rete ha scoperto un punto di svolta critico: il dominio aensnn[.]com , ospitato su 137.220.202[.]236 , un indirizzo IP CDN FUNNULL confermato. Questo dominio è direttamente collegato a una rete di riciclaggio di denaro attiva basata su Telegram, nota internamente come “跑分” (tradotto come “pagamenti di rete” o “movimento di denaro”). Questo termine è ampiamente utilizzato nelle reti finanziarie sotterranee per riferirsi a operazioni di riciclaggio di denaro criminale. Incorporato nel repository GitHub di xianludh c’era un set di link di invito Telegram e un indirizzo e-mail utilizzato per il coordinamento:

• t[.]io/TX_6688
• t[.]io/TX_8988
• t[.]io/xxcc01
• t[.]io/daivip88
• t[.]io/Huawei_0
• gushi083@gmail[.]com

Uno sguardo più attento a questi canali Telegram ha rivelato una rete di facilitatori finanziari coordinati che promuovono attivamente transazioni Tether legate al gioco d’azzardo, un meccanismo primario per il riciclaggio di fondi illeciti. La traduzione dei messaggi interni di questi gruppi ha fornito ulteriori informazioni sulla loro struttura operativa, confermando il loro ruolo di intermediari per transazioni di criptovaluta ad alto volume che consentono il riciclaggio di denaro attraverso i casinò online.

Il ruolo di Tether nella rete di riciclaggio finanziario Suncity-FUNNULL

Tether (USDT) è emerso come l’asset digitale preferito per il riciclaggio dei proventi delle reti di gioco d’azzardo illecite grazie alla sua stabilità dei prezzi, all’elevata liquidità e all’integrazione con gli ecosistemi finanziari sotterranei . Gli analisti che hanno esaminato i siti Web di gioco d’azzardo supportati da FUNNULL hanno notato che la maggior parte delle piattaforme presenta in modo prominente meccanismi di deposito USDT , incoraggiando gli utenti a elaborare le transazioni tramite gateway di criptovaluta piuttosto che tramite i tradizionali canali fiat .

Questa tendenza non è incidentale, ma piuttosto parte di una strategia calcolata per sfruttare la natura pseudo-anonima delle stablecoin per aggirare il controllo normativo. L’integrazione di binari di transazione basati su Tether nell’ecosistema del gioco d’azzardo di Suncity è evidente nei materiali promozionali distribuiti sulle reti di trasferimento di denaro di Telegram, che pubblicizzano servizi finanziari che facilitano le transazioni di criptovalute in blocco, aggirando i requisiti Know Your Customer (KYC) imposti dagli exchange legittimi.

Le osservazioni chiave includono:

• Sistemi di deposito basati su Tether: molti siti di gioco d’azzardo Suncity ospitati da FUNNULL promuovono esplicitamente USDT come metodo di deposito e prelievo principale, riducendo la tracciabilità e la supervisione normativa.
• Utilizzo di facilitatori Telegram in rete: le transazioni vengono coordinate tramite canali Telegram che collegano gli utenti con intermediari che offrono servizi di conversione da criptovalute a denaro contante, consentendo il prelievo di proventi illeciti in valuta fiat senza essere scoperti.
• Riciclaggio transfrontaliero tramite servizi di mixing di criptovalute: sfruttando protocolli di mixing e transazioni con portafogli stratificati , le reti criminali oscurano in modo efficiente l’origine e la destinazione dei fondi illeciti.

Un messaggio promozionale critico dal canale Telegram t[.]me/TX_6688_i , tradotto dal mandarino, conferma la metodologia dell’operazione:

“Cheng Zhao Bank Card Running Sub Team: recluta sinceramente partner per la gestione di sottoprogetti. Benvenuti individui e team per la cooperazione. Operazioni semplici, stabilità a lungo termine e profitti sostenibili! Supportiamo l’assistenza ai depositi per transazioni sicure e di grandi volumi.”

Tra i marchi affiliati che promuovono questa rete sono elencati:

• Macao Jinsha
• Macao Nuovo portoghese
• veneziano
• Corona
• Troppo Sun City
• Macao parigino
• Scommetti365
• Bingo Sportivo

Questi elenchi sono in linea con le operazioni di gioco d’azzardo ospitate da FUNNULL precedentemente identificate , corroborando ulteriormente i loro legami con reti finanziarie transnazionali ad alto rischio.

Sfide normative e persistenza delle reti di riciclaggio digitale

Il funzionamento persistente di queste reti di criminalità finanziaria sottolinea le sfide significative di applicazione affrontate dai regolatori. Nonostante la crescente pressione globale sugli exchange di criptovalute per applicare misure KYC più severe , le reti di gioco d’azzardo illecite continuano a sfruttare gli ecosistemi di stablecoin per condurre transazioni di alto valore non regolamentate .

L’esistenza di facilitatori finanziari incorporati in GitHub, Telegram e piattaforme di trading di criptovalute riflette la crescente decentralizzazione delle operazioni di reati finanziari , rendendo gli sforzi di applicazione sempre più complessi. Le azioni di rimozione mirate a singoli domini o indirizzi blockchain rimangono inefficaci, poiché le nuove infrastrutture vengono rapidamente ridistribuite utilizzando basi di codice preesistenti archiviate in repository come quelle collegate a xianludh .

La necessità di un’azione coordinata di controllo

Per smantellare l’infrastruttura antiriciclaggio FUNNULL-Suncity è necessario un approccio su più fronti , tra cui:

• Prendendo di mira le reti di pagamento basate su blockchain, gli enti regolatori devono imporre meccanismi di tracciamento obbligatori per le transazioni USDT e altre stablecoin collegate a operazioni di gioco d’azzardo ad alto rischio.
• Smantellamento dei fornitori di infrastrutture digitali : i fornitori di servizi, tra cui FUNNULL, devono essere ritenuti responsabili per aver consapevolmente agevolato reti finanziarie illecite.
• Monitoraggio e applicazione della conformità sui repository GitHub : non dovrebbe essere consentito ai criminali di archiviare e distribuire modelli di gioco d’azzardo illeciti tramite piattaforme accessibili al pubblico.
• Migliorare la condivisione di informazioni di intelligence tra le agenzie di regolamentazione : la cooperazione transfrontaliera tra le unità di contrasto ai reati finanziari è fondamentale per smantellare le reti transnazionali di riciclaggio.

Senza un intervento normativo immediato, la fusione di infrastrutture CDN, piattaforme di gioco d’azzardo illecite e reti di trasferimento di denaro tramite criptovaluta continuerà ad alimentare la criminalità finanziaria globale su una scala senza precedenti. Il nesso FUNNULL-Suncity rappresenta un nuovo paradigma nelle operazioni di riciclaggio digitale, che necessita di analisi forensi avanzate, condivisione di intelligence transfrontaliera e azioni legali aggressive per interromperlo.

Lo sfruttamento digitale del gioco d’azzardo online: un canale per il riciclaggio di denaro e la criminalità finanziaria transnazionale

L’integrazione degli strumenti finanziari digitali nel settore del gioco d’azzardo globale ha trasformato i casinò online in uno dei canali di criminalità finanziaria più sofisticati e difficili da regolamentare. Sfruttate dalle reti della criminalità organizzata, le piattaforme di gioco d’azzardo online ora fungono da nodi chiave all’interno dei sistemi bancari sotterranei, consentendo il riciclaggio di denaro su larga scala, flussi finanziari non tracciabili e l’evasione normativa sistematica. La natura in evoluzione di queste operazioni, in particolare nelle giurisdizioni con una debole supervisione finanziaria, ha creato un ambiente in cui gli attori illeciti possono aggirare i controlli antiriciclaggio (AML) convenzionali, offuscare l’origine dei proventi criminali e integrare senza soluzione di continuità i fondi illeciti nell’economia formale.

Una vulnerabilità primaria delle piattaforme di gioco d’azzardo online risiede nell’anonimato e nella natura non faccia a faccia delle transazioni, che consente alle imprese criminali di manipolare i conti per reati finanziari senza un controllo diretto. A differenza delle istituzioni finanziarie tradizionali, che applicano rigidi protocolli KYC (Know Your Customer) e misure di due diligence, i casinò online operano in quadri normativi altamente frammentati che spesso mancano di meccanismi di conformità uniformi , in particolare nelle giurisdizioni ad alto rischio. Questa disparità normativa ha facilitato l’espansione del gioco d’azzardo online come canale di riciclaggio preferito per le reti illecite , con un numero crescente di piattaforme controllate direttamente o indirettamente da entità criminali.

Sfruttamento del gioco d’azzardo online per il riciclaggio di denaro transnazionale

Le indagini sulle attività finanziarie illecite legate ai casinò online rivelano una varietà di metodologie impiegate dai sindacati del crimine organizzato per riciclare denaro e aggirare le normative finanziarie. Queste tattiche includono:

• Transazioni di terze parti e trasferimenti di account : le reti criminali sfruttano le piattaforme di gioco d’azzardo online depositando fondi tramite un account e prelevandoli tramite un altro, stratificando di fatto le transazioni per oscurare l’origine del denaro illecito. Questo metodo è comunemente utilizzato per pagamenti per traffico di droga, transazioni di corruzione e schemi di evasione fiscale.
• Il gioco d’azzardo come copertura per transazioni illecite : alcuni gruppi criminali organizzati hanno sfruttato i punti di gioco in-game e i crediti di scommessa come mezzo di transazione alternativo. Utilizzando le piattaforme di gioco d’azzardo online come strutture bancarie informali, gli attori illeciti possono acquistare e scambiare asset virtuali, che vanno dalle fiches dei casinò digitali agli articoli di lusso, senza innescare la supervisione AML.
• Classificazione errata dei pagamenti e codifica errata delle transazioni : i sindacati criminali si dedicano al riciclaggio di transazioni classificando intenzionalmente in modo errato i pagamenti del gioco d’azzardo. Ad esempio, le transazioni dei casinò online possono apparire nei rendiconti finanziari come acquisti di e-commerce, oscurando la vera natura della transazione e riducendo la probabilità di rilevamento normativo.
• Cripto-gioco d’azzardo e riciclaggio di valuta digitale : l’aumento delle piattaforme di cripto-gioco d’azzardo non regolamentate ha esacerbato i rischi di criminalità finanziaria, con Tether (USDT) e altre stablecoin utilizzate per aggirare le restrizioni bancarie. Queste piattaforme consentono transazioni di alto valore con una supervisione AML minima o nulla, facilitando il riciclaggio di denaro e l’evasione fiscale su larga scala .
• Conti di custodia per l’immagazzinamento di denaro : è stato scoperto che le piattaforme di gioco d’azzardo non regolamentate nel sud-est asiatico forniscono ai criminali conti digitali che funzionano come depositi bancari sotterranei. Questi conti consentono a entità illecite di immagazzinare grandi somme di denaro sotto le mentite spoglie dei saldi dei giocatori, nascondendo di fatto i beni alle autorità finanziarie.
• Scommesse proxy con croupier dal vivo e riciclaggio di denaro nelle sale VIP : in giurisdizioni ad alto rischio come Cambogia, Myanmar e Filippine, i servizi di scommesse proxy operano senza supervisione normativa. Queste piattaforme consentono a terze parti non identificate di piazzare scommesse per conto di giocatori di alto valore, creando una scappatoia per il riciclaggio di proventi illeciti tramite attività di scommesse nei casinò.

Carenze strutturali nei quadri di conformità del gioco d’azzardo online

Uno dei principali fattori abilitanti del riciclaggio di denaro basato sul gioco d’azzardo online è la grave mancanza di un’applicazione standardizzata dell’AML nelle varie giurisdizioni. Le autorità di regolamentazione in Asia, nel Pacifico e in alcune parti d’Europa hanno costantemente lottato per far rispettare meccanismi di controllo efficaci, consentendo agli attori illeciti di sfruttare le lacune nella governance finanziaria. Le principali carenze includono:

• Verifica inadeguata della fonte dei fondi : una vulnerabilità critica nel settore del gioco d’azzardo online è la mancanza di meccanismi di tracciamento delle transazioni per verificare la fonte dei fondi depositati. Le organizzazioni criminali sfruttano questa scappatoia per incanalare i proventi derivanti da frodi informatiche, traffico di droga e pagamenti ransomware nei casinò online.
• Infiltrazione del crimine organizzato nell’industria del gioco d’azzardo : le forze dell’ordine hanno segnalato che numerosi operatori di casinò online sono direttamente collegati a sindacati criminali , compresi quelli affiliati al traffico di esseri umani e alle reti finanziarie illecite. Le piattaforme white-label e i fornitori di servizi di gioco d’azzardo digitale agiscono spesso come canali finanziari per questi gruppi, consolidando ulteriormente la criminalità finanziaria all’interno del settore.
• Applicazione normativa frammentata e mancanza di supervisione transfrontaliera : molti operatori di gioco d’azzardo online operano in base a regimi di licenza offshore che impongono obblighi AML scarsi o nulli. In giurisdizioni come Curaçao, Isole Vergini Britanniche e Vanuatu, i casinò online continuano a operare con requisiti di segnalazione limitati, consentendo agli attori illeciti di sfruttare l’anonimato finanziario.

Casinò online White-Label: l’espansione del controllo criminale

Una sfida importante nella lotta alla criminalità finanziaria nel settore del gioco d’azzardo online è la proliferazione di fornitori di servizi di gioco d’azzardo white-label . Queste entità consentono agli operatori non regolamentati di stabilire casinò online completamente funzionanti senza richiedere competenze dirette o approvazioni normative . Esternalizzando software, elaborazione dei pagamenti e gestione operativa, i fornitori white-label hanno consentito la rapida proliferazione di operazioni di gioco d’azzardo illecite, rendendo sempre più difficile per gli enti di regolamentazione finanziaria tracciare la proprietà e la responsabilità.

Le principali preoccupazioni associate alle piattaforme white-label includono:

• Operazioni criminali decentralizzate : il modello white-label consente a più organizzazioni criminali di operare sotto un unico ombrello di licenza, mantenendo al contempo una struttura finanziaria decentralizzata che protegge le attività illecite dalla supervisione.
• Arbitraggio sulle licenze transfrontaliere : i casinò legati alla criminalità organizzata utilizzano servizi white-label per acquisire licenze di gioco offshore, il che conferisce loro un’apparenza di legittimità e aggira i controlli AML.
• Affiliazione con sport professionistici e pubblicità digitale : sono stati osservati operatori white-label non regolamentati sponsorizzare importanti campionati sportivi e fare pubblicità su piattaforme tradizionali, legittimando ulteriormente le reti di gioco d’azzardo illecite e ampliandone la portata.
• Collegamenti tra criminalità informatica e tratta di esseri umani : diversi casi documentati hanno collegato le operazioni di gioco d’azzardo white-label a schemi di frode informatica, organizzazioni di tratta di esseri umani e grandi imprese di riciclaggio finanziario .

Il ruolo delle istituzioni finanziarie e delle autorità di regolamentazione

Per combattere i crescenti rischi posti dai reati finanziari basati sul gioco d’azzardo online, le istituzioni finanziarie e le agenzie di regolamentazione devono adottare misure di applicazione più aggressive. Le raccomandazioni chiave includono:

• Monitoraggio obbligatorio delle transazioni per i pagamenti relativi al gioco d’azzardo online : gli istituti finanziari dovrebbero implementare analisi delle transazioni basate sull’intelligenza artificiale, in grado di rilevare attività finanziarie insolite correlate al gioco d’azzardo.
• Requisiti rafforzati in materia di divulgazione della titolarità effettiva : gli operatori di casinò white-label devono essere tenuti a divulgare le strutture proprietarie e gli accordi di licenza agli enti di regolamentazione internazionali.
• Maggiore cooperazione transfrontaliera tra le unità di informazione finanziaria (UIF) : i governi devono stabilire accordi più rigorosi per la condivisione di informazioni, al fine di monitorare i flussi finanziari legati al gioco d’azzardo illecito in più giurisdizioni.
• Vigilanza rigorosa sulle transazioni relative a criptovalute, giochi d’azzardo e asset digitali : gli exchange che facilitano le transazioni per depositi in criptovalute legati al gioco d’azzardo devono applicare misure più severe contro il riciclaggio di denaro e le frodi.
• Lista nera e sequestro di domini per gli operatori di gioco d’azzardo illeciti : le autorità dovrebbero coordinare gli sforzi globali per identificare, inserire nella lista nera e sequestrare i domini gestiti da casinò online senza licenza ad alto rischio .

Il settore del gioco d’azzardo online si è evoluto in una delle infrastrutture di criminalità finanziaria più complesse e sfruttate nell’era moderna , fungendo da canale primario per riciclaggio di denaro su larga scala, operazioni bancarie clandestine e inganni finanziari . La natura digitale di questo ecosistema, combinata con un’applicazione normativa frammentata, ha consentito alle reti criminali di operare impunemente , rendendo le tradizionali misure AML sempre più inefficaci. Senza una risposta coordinata e multigiurisdizionale , il continuo sfruttamento delle piattaforme di gioco d’azzardo online per la criminalità finanziaria persisterà, incorporando ulteriormente flussi di denaro illeciti nell’economia globale. Un intervento normativo immediato, combinato con un monitoraggio finanziario forense avanzato e quadri di conformità rafforzati , è essenziale per smantellare i meccanismi finanziari che consentono alle reti di riciclaggio basate sui casinò online.

Riciclaggio di denaro integrato con criptovaluta: l’ascesa dei sindacati di gestione dei punti e delle reti di cortei automobilistici

La crescita esponenziale dell’adozione delle criptovalute, unita alla trasformazione digitale delle reti finanziarie illecite, ha catalizzato l’ascesa di sofisticati meccanismi bancari sotterranei che facilitano il riciclaggio di denaro su larga scala in Asia orientale e sud-orientale. L’intersezione tra finanza digitale, anonimato della blockchain e piattaforme di gioco d’azzardo online ha dato origine a punti che gestiscono sindacati (跑分), reti di cortei di criptovalute (車隊) e infrastrutture di riciclaggio ad alta velocità , consentendo alla criminalità organizzata transnazionale di oscurare i proventi illeciti con un’efficienza senza pari.

Le recenti valutazioni dell’intelligence finanziaria stimano che almeno cinque milioni di individui partecipino a questi ecosistemi finanziari sotterranei, con deflussi di capitali illeciti cumulativi superiori a 157 miliardi di dollari USA , in gran parte attribuiti al gioco d’azzardo illegale online, alle frodi informatiche e al commercio di stupefacenti . L’emergere di queste complesse strutture finanziarie, progettate per eludere le tradizionali misure antiriciclaggio (AML), pone una sfida senza precedenti alle forze dell’ordine e agli enti di regolamentazione finanziaria in tutto il mondo.

Figura: Modello semplificato di punti di corsa per facilitare il gioco d’azzardo online e il riciclaggio di denaro

Fonte: elaborazione basata sulle informazioni pubblicate dalle autorità di polizia e di intelligence finanziaria in Cina.

L’evoluzione dei sindacati di gestione dei punti: una rete di riciclaggio distribuita

I punti che gestiscono i sindacati, spesso definiti “formiche in movimento” (跑分) a causa della loro natura operativa decentralizzata, svolgono un ruolo fondamentale nell’offuscare i flussi finanziari illeciti. Queste reti operano come canali finanziari pass-through , trasferendo fondi illeciti attraverso una vasta rete di conti bancari, exchange di criptovalute e casinò online , interrompendo sistematicamente le tracce delle transazioni per eludere il rilevamento.

La struttura fondamentale di un sindacato di punti in esecuzione è caratterizzata da:

• Reclutamento di massa di “mule” della finanza : i gruppi della criminalità organizzata reclutano in modo aggressivo individui, in particolare giovani e disoccupati in Asia orientale e sudorientale, per prestare i loro conti bancari e aumentare le transazioni.
• Trasferimenti ad alta frequenza : i fondi vengono trasferiti rapidamente attraverso più conti, creando una rete complessa di transazioni finanziarie che nasconde di fatto la fonte dei fondi.
• Integrazione con i casinò online : canalizzando i proventi illeciti attraverso piattaforme di gioco d’azzardo digitali , i criminali possono “imbiancare” i fondi illeciti falsificando le vincite del gioco d’azzardo, legittimando ulteriormente i proventi.
• Utilizzo di processori di pagamento di terze e quarte parti : molte di queste operazioni sfruttano intermediari finanziari non tradizionali , tra cui exchange di criptovalute e gateway di pagamento non regolamentati, per facilitare i trasferimenti transfrontalieri con una supervisione minima.

Le indagini delle forze dell’ordine sull’operazione Chain Break in Cina hanno rivelato l’uso massiccio di associazioni di gestione di punti per facilitare i pagamenti illegali del gioco d’azzardo online, esacerbando la vulnerabilità dei reati finanziari nelle economie digitali regionali.

Reti di cortei automobilistici e riciclaggio di criptovalute ad alta velocità

L’avvento delle reti di cortei di criptovalute (車隊) ha rivoluzionato le operazioni di riciclaggio ad alta velocità , creando exchange sotterranei Tether (USDT) iperefficienti che consentono ai criminali di convertire valuta fiat illecita in asset digitali con un’esecuzione pressoché istantanea.

Queste reti operano attraverso una struttura a livelli:

• Livello 1 – Operatori in prima linea ad alto rischio: gli individui in prima linea nella catena del riciclaggio facilitano le transazioni a più alto rischio, spesso pubblicizzando i propri servizi nei gruppi Telegram, Facebook e TikTok sotto forma di annunci di “formazione di cortei”.
• Livello 2 – Hub coordinati per la lotta al riciclaggio di denaro: queste operazioni centralizzate distribuiscono fondi illeciti su larga scala attraverso più exchange di criptovalute non regolamentati , riducendo al minimo l’esposizione suddividendo le transazioni in tranche più piccole.
• Livello 3 – Reti di prelievo transfrontaliere: una volta che la criptovaluta è stata riciclata con successo, i fondi vengono reintrodotti nell’economia tramite cambiavalute clandestini , trader over-the-counter (OTC) ad alto rischio e fornitori di servizi finanziari non conformi.

I team Motorcade sono specializzati in movimenti finanziari ad alto volume , elaborando transazioni illecite su larga scala oltre confine con commissioni che vanno dal 20% al 40% a seconda del livello di rischio. Le informazioni ottenute dalle agenzie regionali di polizia suggeriscono che questi team collaborano con casinò online più piccoli, integrando ulteriormente le loro attività finanziarie illecite nella più ampia economia sommersa.

Il divieto cinese sulle criptovalute e la migrazione delle reti di riciclaggio

In risposta al crescente utilizzo di meccanismi di riciclaggio integrati in criptovaluta , nel 2021 il governo cinese ha emanato un divieto totale sulle transazioni, il trading e il mining di criptovaluta. Questo divieto ha catalizzato il trasferimento delle infrastrutture di riciclaggio digitale in giurisdizioni con una supervisione finanziaria più debole, tra cui il sud-est asiatico, l’Europa orientale e l’America Latina.

Le principali conseguenze di questa migrazione includono:

• Aumento degli scambi di criptovalute non regolamentati: centri di riciclaggio sono emersi in Cambogia, Myanmar e Filippine , dove i deboli quadri antiriciclaggio consentono conversioni USDT-fiat su larga scala.
• Rapida espansione di schemi di riciclaggio integrati nel gioco d’azzardo online: gli e-junket e i casinò digitali continuano a facilitare transazioni in criptovaluta ad alta frequenza , consentendo agli autori di illeciti di giustificare i fondi come legittime vincite al gioco d’azzardo.
• Aumento delle frodi con identità sintetiche e del reclutamento di money mule: per contrastare le misure AML rafforzate, i criminali hanno intensificato l’uso di identità sintetiche e falsificato la documentazione KYC per creare conti finanziari fraudolenti.

Le società di analisi blockchain stimano che meno dell’1% di tutte le transazioni in criptovaluta siano esplicitamente illecite ; tuttavia, gli esperti avvertono che questa cifra sottostima notevolmente la portata della criminalità finanziaria a causa di enormi lacune di attribuzione, offuscamento deliberato dei dati da parte degli exchange di criptovalute e diffuse pratiche di wash trading .

Riciclaggio di denaro basato sulle criptovalute e sfide normative

L’integrazione delle criptovalute nei framework transnazionali di riciclaggio di denaro segue un modello di posizionamento-stratificazione-integrazione modificato , sfruttando l’anonimato della blockchain per aggirare i controlli finanziari tradizionali. Le caratteristiche principali includono:

• Eliminazione dei rischi di collocamento tradizionali: a differenza del riciclaggio basato su valute fiat, in cui i fondi illeciti devono prima entrare nel sistema finanziario, le criptovalute consentono la movimentazione diretta senza la necessità di intermediari.
• Automazione di massa delle transazioni su più livelli: le reti criminali implementano l’automazione basata su contratti intelligenti , eseguendo migliaia di microtransazioni a costi prossimi allo zero.
• Sfruttamento di asset digitali volatili: sebbene USDT rimanga il principale strumento di riciclaggio, i criminali sfruttano anche le criptovalute ad alta volatilità per giustificare guadagni finanziari ingenti e inspiegabili.

Il ruolo delle piattaforme di gioco d’azzardo online nel riciclaggio di criptovalute

Le piattaforme di gioco d’azzardo online sono diventate un veicolo primario per il riciclaggio di proventi derivati ​​da criptovalute, contribuendo alla rapida espansione delle economie digitali illecite. La Financial Action Task Force (FATF) ha segnalato due scenari principali di red-flag:

• Transazioni di asset virtuali collegate a piattaforme di gioco d’azzardo sospette : fondi provenienti da indirizzi blockchain ad alto rischio con esposizione a noti siti di gioco d’azzardo illeciti.
• Utilizzo di depositi e prelievi da criptovalute a casinò : le reti criminali sfruttano i casinò online per facilitare un’integrazione finanziaria pseudo-legittima , nascondendo le transazioni illecite di criptovalute sotto forma di attività di gioco d’azzardo inventate.

La continua espansione delle operazioni di riciclaggio digitale attraverso casinò online e canali finanziari integrati in criptovalute sottolinea l’ urgente necessità di analisi finanziarie forensi avanzate e di interventi normativi rafforzati .

Contrastare il riciclaggio di denaro tramite criptovaluta

Per affrontare l’aumento di punti che gestiscono sindacati, reti di cortei automobilistici e schemi di riciclaggio basati sul gioco d’azzardo online, è necessaria una risposta coordinata e multi-giurisdizionale . Le principali misure strategiche includono:

• Conformità AML obbligatoria per gli exchange di criptovalute : maggiore controllo normativo sulle piattaforme di trading over-the-counter (OTC) e peer-to-peer (P2P) per impedire conversioni fiat-cripto non regolamentate.
• Analisi forense avanzata della blockchain e condivisione di intelligence transfrontaliera : i governi devono collaborare per migliorare il monitoraggio in tempo reale delle transazioni blockchain ad alto rischio .
• Lista nera e interruzione delle piattaforme di gioco d’azzardo online illecite : le agenzie di regolamentazione dovrebbero dare priorità alle operazioni di rimozione mirate ai casinò digitali senza licenza collegati al riciclaggio di criptovalute.
• Monitoraggio rafforzato dei social media e delle reti di reclutamento finanziario clandestino : le autorità devono intervenire in modo proattivo nei centri di reclutamento di Telegram, Facebook e TikTok utilizzati dalle organizzazioni di riciclaggio di denaro.

La mancata implementazione di queste misure consentirà alle reti di criminalità finanziaria basate sulle criptovalute di continuare a evolversi, radicandosi ulteriormente nell’economia digitale globale. È necessario un intervento normativo immediato e aggressivo per impedire che le operazioni di riciclaggio alimentate dalle criptovalute diventino una componente irreversibile del crimine organizzato transnazionale.

La proliferazione delle reti di riciclaggio di denaro basate sull’USDT e la convergenza tra criminalità informatica, gioco d’azzardo online e tratta di esseri umani

L’adozione diffusa di USDT (Tether) come strumento finanziario primario all’interno di economie illecite transnazionali ha catalizzato l’espansione di sofisticate reti di riciclaggio, consentendo ai gruppi criminali organizzati di oscurare ingenti somme di proventi criminali con allarmante efficienza. La crescente integrazione di tecniche di offuscamento finanziario basate su criptovalute all’interno di sindacati di frode informatica, piattaforme di gioco d’azzardo online illegali e infrastrutture bancarie sotterranee ha creato un ecosistema di criminalità finanziaria altamente adattabile , ponendo sfide sostanziali alle autorità di regolamentazione in tutto il mondo.

Recenti analisi forensi della blockchain hanno scoperto oltre 17 miliardi di USDT in transazioni illecite che spaziano tra scambi di valuta clandestini, scambi illegali di materie prime e frodi finanziarie informatiche tra settembre 2022 e settembre 2023. Le forze dell’ordine e le agenzie di intelligence finanziaria in Asia orientale e sud-orientale hanno identificato un’impennata drammatica del riciclaggio di denaro basato sulle criptovalute , con USDT sulla blockchain TRON che emerge come il mezzo preferito per i flussi finanziari illeciti grazie alla sua rapida velocità di transazione, alla natura pseudonima e alle commissioni di transazione trascurabili.

Casi di studio di reti criminali facilitate dall’USDT

Il sindacato cinese del riciclaggio di criptovalute da 1,7 miliardi di dollari

Nel 2022, un’operazione di polizia multi-agenzia guidata dall’Ufficio di pubblica sicurezza di Tongliao in Cina ha smantellato una rete di riciclaggio di denaro basata sull’USDT, responsabile del riciclaggio di oltre 1,7 miliardi di dollari di fondi illeciti derivanti dal gioco d’azzardo online e dalle frodi informatiche.

• Il sindacato ha sfruttato una rete di exchange di criptovalute e conti pass-through registrati tramite Telegram per facilitare l’offuscamento finanziario.
• Un’indagine durata tre mesi ha portato a 63 arresti in 17 province e le autorità hanno sequestrato 18 milioni di dollari in contanti .
• Si è scoperto che la banda aveva reclutato dei corrieri della finanza per aprire falsi conti correnti, riciclando di fatto i proventi per organizzazioni criminali nazionali e internazionali.

Due dei caporioni sono fuggiti in Thailandia prima di essere arrestati ed estradati in Cina, il che sottolinea la portata transnazionale delle reti di riciclaggio di criptovalute .

Singapore: repressione del riciclaggio di denaro da 737 milioni di dollari

Nell’agosto 2023 , le autorità di Singapore hanno eseguito la più grande operazione antiriciclaggio nella storia della città-stato , che ha portato a 10 arresti e al sequestro di oltre 737 milioni di dollari in beni illeciti , tra cui:

• Patrimonio immobiliare di lusso
• Oltre 200 milioni di dollari in portafogli di criptovaluta collegati a USDT
• Oltre 250 borse, orologi e gioielli di lusso
• Sono stati utilizzati molteplici documenti falsi per aprire conti bancari a Singapore

Le autorità hanno riferito che nove dei dieci individui arrestati avevano passaporti cambogiani ed erano collegati a reti di gioco d’azzardo online illecite e frodi transnazionali che operavano in Cina, Myanmar e Filippine. Diversi individui erano stati precedentemente indagati in Cina prima di trasferirsi nel sud-est asiatico per eludere il controllo delle forze dell’ordine.

Dipartimento di Giustizia degli Stati Uniti e il sequestro di 225 milioni di dollari di USDT

Nel novembre 2023 , il Dipartimento di Giustizia degli Stati Uniti (DOJ) , in collaborazione con l’exchange di criptovalute OKX e Tether , ha orchestrato il congelamento volontario di 225 milioni di dollari in USDT collegati a sindacati di frode informatica con sede nel sud-est asiatico coinvolti nella tratta di esseri umani e in truffe su larga scala di “macellazione di maiali” .

• I funzionari del Dipartimento di Giustizia hanno rintracciato i depositi delle vittime che sono stati riciclati attraverso tecniche di chain-hopping a più livelli , nascondendo l’origine e la destinazione finale dei fondi illeciti.
• Gli investigatori hanno sequestrato altri 9 milioni di dollari in asset digitali , confermando la crescente dipendenza dalle infrastrutture finanziarie basate sulla blockchain per facilitare operazioni di riciclaggio di denaro su larga scala.

Queste indagini sottolineano la crescente convergenza tra criptovalute, criminalità informatica e frodi finanziarie transnazionali , dimostrando la crescente complessità dei flussi finanziari illeciti abilitati dalle attività digitali.

L’intersezione tra criptovaluta, gioco d’azzardo online e tratta di esseri umani

Una tendenza emergente negli ecosistemi finanziari illeciti è il nesso sempre più profondo tra crimine finanziario digitale, reti di casinò clandestini e sindacati di traffico di esseri umani . Rapporti investigativi di agenzie di intelligence regionali e organizzazioni internazionali per i diritti umani stimano che oltre 220.000 individui siano attualmente tenuti in condizioni di lavoro forzato nell’ambito di operazioni di frode informatica solo in Cambogia e Myanmar.

Questa forza lavoro sfruttatrice è determinante nell’esecuzione di campagne di frode online multimiliardarie , che sfruttano:

• Schemi di ingegneria sociale che prendono di mira vittime in tutto il mondo attraverso piattaforme di investimento fraudolente.
• Ambienti di gioco d’azzardo digitale manipolati, progettati per sottrarre denaro a giocatori ignari.
• Raccolta di dati da fonti del dark web , che consente inganni finanziari su larga scala.

La struttura portante operativa di queste attività illecite è rafforzata dai paralleli progressi nelle infrastrutture bancarie clandestine e di riciclaggio di criptovalute .

Il ruolo delle piattaforme di gioco d’azzardo online nel riciclaggio informatico

L’espansione delle imprese di gioco d’azzardo online non regolamentate ha fornito un canale finanziario altamente efficace per distribuire fondi illeciti attraverso transazioni di scommesse falsificate .

Le principali metodologie di riciclaggio impiegate dai sindacati del gioco d’azzardo digitale includono:

• Transazioni di gioco d’azzardo basate su USDT : le imprese criminali depositano fondi illeciti su piattaforme di gioco d’azzardo online , dove vengono fatti circolare attraverso scommesse organizzate prima di essere ritirati come “vincite legittime”.
• Reti di riciclaggio di denaro transfrontaliere : gli operatori del gioco d’azzardo in Myanmar, Cambogia e Filippine svolgono il ruolo di facilitatori chiave per i programmi di conversione criptovaluta-valuta fiat , consentendo alle organizzazioni criminali di estrarre fondi dai sistemi finanziari digitali.
• Conti scommesse VIP per imprese criminali : alcuni programmi VIP per giocatori d’alto livello offerti dai casinò online sono stati identificati come canali di riciclaggio di denaro , consentendo lo spostamento di grandi somme di capitale illecito senza attivare i tradizionali sistemi di monitoraggio AML.

Il crescente coinvolgimento finanziario tra gioco d’azzardo online, riciclaggio di criptovalute e imprese transnazionali di frode informatica ha reso la criminalità finanziaria digitale una delle sfide normative più urgenti del decennio .

Contromisure strategiche contro il riciclaggio di denaro basato su USDT

Per contrastare la crescente influenza dei sindacati criminali finanziari che utilizzano le criptovalute , gli enti di regolamentazione finanziaria globali devono adottare una strategia di controllo multiforme , sottolineando:

• Analisi forense estesa della blockchain : implementazione di tecnologie di tracciamento delle transazioni basate sull’intelligenza artificiale per identificare e interrompere le transazioni illecite sulla blockchain .
• Sanzioni regolamentari sugli exchange di criptovalute ad alto rischio : inserire nella lista nera e imporre sanzioni finanziarie le piattaforme di criptovalute che facilitano flussi finanziari non regolamentati .
• Rafforzamento della vigilanza AML per gli operatori del gioco d’azzardo online : monitoraggio obbligatorio delle transazioni in tempo reale e piena divulgazione delle strutture di titolarità effettiva per i casinò digitali collegati ad attività finanziarie ad alto rischio .
• Maggiore coordinamento tra le unità di informazione finanziaria (UIF) : istituzione di task force di regolamentazione transfrontaliere per monitorare in tempo reale le tendenze del riciclaggio basato sulle criptovalute .
• Interruzione completa delle reti cripto-finanziarie criminali : sequestro di asset digitali illeciti , smantellamento dei sindacati di riciclaggio clandestino e azioni legali aggressive contro i criminali di alto profilo .

Senza un intervento decisivo, la proliferazione incontrollata di ecosistemi di riciclaggio basati su USDT continuerà ad alimentare l’espansione della criminalità finanziaria transnazionale basata sulla cybercriminalità , radicando ulteriormente le economie illecite basate sulle criptovalute nel panorama finanziario globale .

L’ecosistema del phishing al dettaglio su FUNNULL: smascherare una campagna coordinata di criminalità informatica

La proliferazione di campagne di phishing ospitate sull’infrastruttura di FUNNULL rappresenta una minaccia emergente per la sicurezza informatica globale, con un’attenzione particolare ai marchi occidentali di moda di lusso e di vendita al dettaglio di alto profilo. Recenti informazioni hanno scoperto una rete di phishing altamente coordinata che prende di mira alcune delle aziende più riconoscibili nel settore della vendita al dettaglio. La portata e la sofisticatezza di questa campagna indicano la presenza di un avanzato sindacato di criminali informatici che sfrutta la Content Delivery Network (CDN) di FUNNULL per la raccolta di credenziali su larga scala e le frodi finanziarie.

I marchi al dettaglio presi di mira e il loro sfruttamento

La nostra analisi forense ha rivelato che almeno 20 grandi marchi globali sono attivamente presi di mira tramite pagine di login di phishing meticolosamente realizzate e ospitate su FUNNULL. Questi marchi includono:

• Moda di lusso: Cartier, Chanel, Coach, LVMH, Michael Kors, Tiffany & Co., Valentino
• Piattaforme di e-commerce: eBay, Etsy, Rakuten, OnBuy.com
• Rivenditori di fascia alta: Neiman Marcus, Saks Fifth Avenue, Macy’s
• Rivenditori al dettaglio di massa: Aldo, Asda, Lotte Mart, Inditex
• Mercati di sconti e offerte online: Bonanza, Gilt Groupe
• Programmi fedeltà e premi in denaro

Ogni marchio è associato a più domini di phishing , che spesso utilizzano tecniche di typosquatting, attacchi omoglifici e mascheramento dei sottodomini per indurre gli utenti ignari a immettere le proprie credenziali di accesso su siti web contraffatti.

Analisi tecnica dell’infrastruttura di phishing ospitata da FUNNULL

• Infrastruttura CNAME identificata: un singolo CNAME FUNNULL (12abb97f.u.fn03[.]vip) è stato collegato a più di 650 domini di phishing , confermando l’esistenza di un attore della minaccia centralizzato che coordina la campagna.
• Catene di reindirizzamento URL: molti di questi domini utilizzano più livelli di reindirizzamento , spesso nascondendo la propria origine tramite URL intermedi prima di arrivare su pagine che rubano credenziali.
• Elementi comuni dei kit di phishing: la nostra indagine ha individuato kit di phishing altamente uniformi in questi domini fraudolenti, caratterizzati da strutture di directory, payload di accesso e risposte del server pressoché identici .

Caso di studio: somiglianze degli endpoint di autenticazione

Eseguendo il reverse engineering di diverse pagine di phishing, abbiamo identificato un comportamento coerente lato server su più domini:

• Pagina di phishing di Channel (cjmall01[.]com/index/user/logins.html)
  • Il modulo di accesso invia le credenziali tramite l’ endpoint “do_login.html” .
  • Il server risponde con un messaggio uniforme “L’utente non esiste” , imitando un legittimo tentativo di accesso non riuscito.
• Pagina di phishing di Cartier (cartier.cartierate[.]com/login)
  • Le credenziali vengono inviate a “/api/cat/v1/auth/login” .
  • Lo script di phishing restituisce un messaggio di errore “Account inesistente” (tel_not_exist) , una risposta di firma riscontrata anche in altri domini di phishing.
• Pagine di phishing di Rakuten, Aldo ed eBay
  • Tutti sfruttano strutture di directory e endpoint di autenticazione identici ( “/api/cat/v1/auth/login” ).
  • I server di phishing restituiscono lo stesso messaggio “Account inesistente” della campagna Cartier.

Componenti della frode sugli investimenti e della macellazione dei maiali

Oltre al phishing al dettaglio, i nostri team di intelligence hanno scoperto importanti intersezioni tra questa rete di phishing e truffe sugli investimenti, tra cui le truffe relative alla macellazione dei maiali.

• Piattaforme di trading fraudolente: sono stati trovati domini collegati a coroexchange[.]com all’interno della stessa infrastruttura FUNNULL.
• Modelli di hosting condiviso: la campagna di phishing al dettaglio coesiste con siti di frode finanziaria sotto gli stessi cluster IP controllati da FUNNULL, il che indica operazioni di criminalità finanziaria multi-vettore gestite da un singolo attore di minacce organizzato.

Misure di sicurezza operativa e risultati non pubblicati

Ulteriori indicatori forensi sono stati censurati per le forze dell’ordine e i clienti di sicurezza aziendale , in quanto contengono meccanismi di exploit critici utilizzati da questo attore della minaccia. Tuttavia, l’intelligence attuale suggerisce fortemente che questa campagna:

• Opera su scala globale, interessando i principali mercati internazionali al dettaglio.
• Sfrutta la CDN di FUNNULL come livello infrastrutturale fondamentale, sfruttandone le capacità di anonimizzazione.
• Utilizza tecniche di elusione sofisticate, tra cui il rapido ciclo di dominio e l’offuscamento dell’IP.

Contromisure strategiche e misure di mitigazione consigliate

• Blacklist di domini e IP: i team di sicurezza informatica aziendale devono bloccare immediatamente tutti i domini di phishing associati a FUNNULL e monitorare attivamente i modelli di traffico per rilevare tentativi di accesso non autorizzati.
• Campagne di sensibilizzazione contro il phishing nel settore della vendita al dettaglio: i marchi presi di mira da questa campagna dovrebbero coordinare gli avvisi di sicurezza globali e rafforzare l’adozione dell’autenticazione a due fattori (2FA).
• Algoritmi avanzati per il rilevamento delle frodi: gli elaboratori di pagamento e gli istituti finanziari dovrebbero implementare meccanismi di rilevamento delle frodi in tempo reale per segnalare le transazioni provenienti da account compromessi.
• Collaborazione in materia di intelligence sulle minacce informatiche: le forze dell’ordine e le aziende di sicurezza informatica devono ampliare i quadri di condivisione di intelligence per rilevare e smantellare in modo proattivo le infrastrutture di phishing prima che si espandano ulteriormente.

L’ ecosistema di phishing ospitato da FUNNULL rappresenta un’escalation critica nella criminalità informatica transnazionale , con frodi al dettaglio, truffe sugli investimenti e frodi finanziarie che convergono tutte in un’unica infrastruttura di attacco orchestrata. Data la rapida evoluzione di queste tattiche, la mancata azione rapida e decisa potrebbe portare a furti di credenziali diffusi, perdite finanziarie e all’erosione della fiducia dei consumatori nelle piattaforme di vendita al dettaglio online.

Compromissione della supply chain di Polyfill.io: una minaccia sistemica alla sicurezza informatica

L’acquisizione di Polyfill.io da parte di FUNNULL all’inizio del 2024 ha innescato uno degli attacchi alla supply chain più insidiosi degli ultimi tempi, sfruttando la fiducia intrinseca riposta nelle librerie JavaScript ampiamente utilizzate per iniettare script dannosi in oltre 110.000 siti Web a livello globale. Questa manovra strategica di FUNNULL, un noto facilitatore di operazioni di criminalità informatica, ha avuto conseguenze di vasta portata, esponendo aziende, governi e utenti a una serie di minacce sofisticate.

Sfruttamento di una risorsa attendibile

Polyfill.io, precedentemente riconosciuto come una legittima risorsa open source che forniva polyfill JavaScript per garantire la compatibilità tra browser, è stato silenziosamente rilevato da FUNNULL, che ha prontamente trasformato il servizio in un’arma. I file JavaScript modificati incorporati in innumerevoli siti Web hanno introdotto codice dannoso progettato per eseguire molteplici forme di attacchi informatici:

• Reindirizzamenti automatici di phishing: gli script iniettati rilevano gli utenti mobili e li reindirizzano a portali di gioco fraudolenti, siti di raccolta di credenziali e piattaforme di truffe sugli investimenti.
• Meccanismi di raccolta dati: il codice dannoso intercettava i moduli inviati, sottraendo credenziali utente, informazioni di pagamento e altri dati sensibili prima di inoltrarli ad autori di minacce esterne.
• Distribuzione di malware drive-by: i visitatori inconsapevoli di siti compromessi venivano esposti a payload dannosi progettati per installare spyware, keylogger e software che abilitavano le botnet.
• Cryptojacking e sfruttamento delle risorse: sui siti web interessati è stata eseguita in background una versione non autorizzata di JavaScript, consentendo l’estrazione illecita di criptovalute sui dispositivi dei visitatori.

Impatto globale diffuso con un focus su Europa e Italia

La contaminazione di una libreria JavaScript ampiamente utilizzata ha portato a una rapida diffusione globale, con l’Europa tra le regioni più colpite. L’Italia, in particolare, ha dovuto affrontare ampie interruzioni a causa della sua forte dipendenza dal commercio digitale, dai servizi di e-government e da un elevato numero di piccole e medie imprese (PMI) che hanno integrato Polyfill.io nelle loro piattaforme.

Ripartizione statistica dell’impatto in Italia

• Siti web compromessi: sono stati colpiti oltre 5.800 siti web italiani, tra cui portali governativi, rivenditori online e fornitori di servizi finanziari.
• Perdite finanziarie e di dati: il danno finanziario diretto stimato supera i 75 milioni di euro , considerando gli addebiti retroattivi dovuti a frodi, le sanzioni legali e i costi di mitigazione.
• Interruzioni dell’e-commerce: le principali piattaforme di vendita al dettaglio italiane hanno segnalato un calo del 12% nei parametri di fiducia degli utenti , con ripercussioni sulle vendite online e sul coinvolgimento dei consumatori.
• Vittime di phishing: l’analisi indica che oltre 270.000 utenti italiani hanno inconsapevolmente inviato informazioni sensibili a siti fraudolenti, facilitati da reindirizzamenti dannosi.
• Costi per la sicurezza aziendale: le aziende italiane di sicurezza informatica e le aziende interessate hanno stanziato oltre 20 milioni di euro in interventi di risposta alle emergenze e di patching software per contrastare l’intrusione.

Riciclaggio delle infrastrutture: il ruolo di FUNNULL nell’espansione dei vettori di attacco

L’incidente di Polyfill.io sottolinea il problema più ampio della sicurezza informatica del riciclaggio di infrastrutture , in cui i sindacati dei criminali informatici sfruttano i servizi cloud legittimi per propagare campagne dannose. FUNNULL ha dimostrato un approccio calcolato per integrarsi in ecosistemi tecnologici affidabili, utilizzando infrastrutture consolidate per offuscare le proprie attività ed eludere le tradizionali difese di sicurezza informatica. Il caso di Polyfill.io è particolarmente preoccupante a causa di:

• Abuso dei servizi CDN: FUNNULL ha sfruttato la sua Content Delivery Network (CDN) per diffondere file JavaScript danneggiati attraverso un’ampia rete di siti web legittimi.
• Portata multipiattaforma: l’infezione Polyfill.io si è diffusa attraverso diversi framework di sviluppo web, colpendo WordPress, Magento, Shopify e altre piattaforme basate su CMS.
• Complicità del servizio cloud: l’attacco ha coinciso con l’espansione della presenza di FUNNULL su AWS e Azure, consentendo una maggiore resilienza operativa e una portata più ampia.
• Distribuzione adattiva di codice dannoso: a differenza delle tradizionali infezioni da malware, il codice JavaScript iniettato modifica dinamicamente il comportamento in base alla geolocalizzazione, al tipo di browser e alle caratteristiche del dispositivo, rendendone difficile il rilevamento e la correzione.

Google e la risposta del settore: misure di mitigazione di emergenza

In seguito alle diffuse segnalazioni della compromissione, le principali aziende tecnologiche hanno preso rapidamente provvedimenti per mitigare ulteriori danni:

• Misure di sicurezza di Google: Google ha segnalato e penalizzato tutti i siti che utilizzano Polyfill.io, sospendendo i privilegi pubblicitari e avvisando i domini interessati.
• Tutela di Cloudflare e Fastly: i leader del settore hanno implementato soluzioni di hosting JavaScript alternative per contrastare l’influenza di FUNNULL, con mirror sicuri creati per prevenire futuri abusi.
• Coordinamento Global CERT: l’ Agenzia per la Cybersicurezza Nazionale (ACN) ha collaborato con le agenzie europee per la sicurezza informatica per monitorare e neutralizzare le minacce residue.
• Integrazione dell’intelligence blockchain: diverse aziende di sicurezza informatica hanno integrato il monitoraggio basato su blockchain per tracciare le transazioni illecite di criptovaluta collegate ai reindirizzamenti fraudolenti.

Raccomandazioni strategiche sulla sicurezza informatica per l’Italia

La violazione di Polyfill.io ha evidenziato la necessità di miglioramenti sistemici nella resilienza della sicurezza informatica nazionale. Data l’entità dell’impatto, le autorità di regolamentazione e le aziende italiane devono adottare una strategia di difesa proattiva e multistrato:

• Audit obbligatorio della supply chain: applicare rigorose policy di convalida del codice per le librerie JavaScript di terze parti integrate nell’infrastruttura critica.
• Web Application Firewall avanzati (WAF): distribuisci soluzioni WAF avanzate con analisi comportamentale in tempo reale per rilevare e impedire l’esecuzione di script non autorizzati.
• Soluzioni di hosting di codice decentralizzato: promuovono la verifica decentralizzata basata su blockchain delle librerie open source per impedire acquisizioni furtive da parte di malintenzionati.
• Condivisione di informazioni sulle minacce basata sull’intelligenza artificiale: istituire un quadro automatizzato di condivisione di informazioni sulle minacce tra istituti finanziari italiani, aziende tecnologiche e forze dell’ordine.
• Campagne di sensibilizzazione dei consumatori: implementare programmi di sensibilizzazione a livello nazionale sulle abitudini di navigazione sicure, concentrandosi in particolare sulla sicurezza dell’e-commerce e sulle tecniche di rilevamento del phishing.

L’attacco alla supply chain di Polyfill.io non è un incidente isolato, ma un presagio di minacce informatiche in evoluzione che prendono di mira la spina dorsale digitale delle economie moderne. L’integrazione di codice dannoso in librerie JavaScript ampiamente utilizzate evidenzia le vulnerabilità insite negli ecosistemi tecnologici interconnessi, rendendo necessario un cambiamento di paradigma nel modo in cui le dipendenze software vengono gestite e protette.

Per l’Italia e il più ampio panorama europeo della sicurezza informatica, l’incidente FUNNULL deve fungere da catalizzatore per un’azione legislativa, una maggiore vigilanza e il rafforzamento dei meccanismi nazionali di difesa informatica. Man mano che le tattiche avversarie diventano più sofisticate, l’imperativo di salvaguardare l’infrastruttura digitale dalle minacce emergenti della supply chain non è mai stato così critico.

Sfruttamento dell’infrastruttura CDN da parte di FUNNULL: un’analisi avanzata dei meccanismi della criminalità informatica

Nel panorama in continua evoluzione delle minacce informatiche, il recente sfruttamento delle reti di distribuzione dei contenuti (CDN) da parte di sindacati di criminali informatici è emerso come una delle metodologie di attacco più diffuse e tecnicamente sofisticate. FUNNULL, un fornitore di CDN collegato alla Cina, è stato in prima linea in questa trasformazione, sfruttando repository JavaScript affidabili e infrastrutture cloud per propagare malware, orchestrare campagne di phishing su larga scala e facilitare frodi informatiche transnazionali. La seguente analisi offre un’indagine esaustiva sulle metodologie impiegate da FUNNULL, la composizione strutturale del suo framework di attacco e le implicazioni per la sicurezza informatica globale.

Immagine: la società di sicurezza informatica Wiz ha mappato i dettagli dell’infrastruttura CDN FUNNULL 

Anatomia delle operazioni informatiche basate su CDN di FUNNULL

L’infrastruttura CDN di FUNNULL, identificata come vettore attivo per gli attacchi alla supply chain, opera incorporando payload JavaScript dannosi in servizi web legittimi. A differenza dei cyberattacchi convenzionali che si basano sull’installazione di malware o su esche di phishing, questo metodo consente a FUNNULL di usare come arma risorse di sviluppo ampiamente utilizzate, sfruttando la loro intrinseca affidabilità per ottenere l’accesso ad ambienti web altamente sensibili.

Rete e infrastruttura CDN di FUNNULL

I CDN controllati da FUNNULL includono più domini progettati per mascherarsi da innocui fornitori di strumenti per sviluppatori:

• polyfill.io (in precedenza una libreria JavaScript open source ampiamente utilizzata, ora trasformata in un’arma per l’iniezione di malware)
• bootcss.com (un CDN che ospita varie risorse di sviluppo web, inclusi file JavaScript e CSS)
• bootcdn.net (una risorsa parallela con funzioni simili, che rafforza la ridondanza nell’infrastruttura di attacco)
• staticfile.net e staticfile.org (siti di hosting aggiuntivi utilizzati per offuscare la distribuzione del payload)

Questi domini, originariamente percepiti come benigni, sono stati riutilizzati come canali per l’esecuzione di script non autorizzati, reindirizzamenti e raccolta di credenziali. I siti Web che si affidano a questi servizi diventano inavvertitamente partecipanti alla propagazione di software dannoso, esponendo gli utenti a gravi rischi per la sicurezza.

L’armamentizzazione delle librerie JavaScript

Iniettando codice non autorizzato nelle librerie JavaScript caricate da queste CDN, FUNNULL ottiene effettivamente il controllo su vaste fasce di traffico Internet. Questo metodo consente ai criminali informatici di:

• Implementare meccanismi di raccolta delle credenziali
  • Gli script dannosi vengono eseguiti nei browser degli utenti, catturando le credenziali di accesso e trasmettendole ai server di comando e controllo (C2) remoti.
  • L’esfiltrazione dei dati avviene in tempo reale, spesso occultata tramite richieste di rete codificate per eludere il rilevamento.
• Avviare reindirizzamenti automatici verso domini di phishing
  • I siti web che caricano librerie JavaScript controllate da FUNNULL reindirizzano gli utenti a portali di accesso fraudolenti.
  • Queste pagine di phishing imitano le interfacce di accesso legittime di servizi bancari, di e-commerce e di provider di servizi cloud.
• Distribuire payload di malware tramite download drive-by
  • Sfruttando le vulnerabilità del browser, gli script iniettati innescano download di file non autorizzati.
  • Gli utenti, ignari della compromissione della sicurezza, installano inavvertitamente spyware, keylogger o ransomware.

Manipolazione avanzata del DNS e offuscamento del dominio

Un fattore chiave nella resilienza operativa di FUNNULL è il suo uso strategico di algoritmi di generazione di dominio (DGA). I ​​DGA sono framework automatizzati che creano un flusso continuo di domini generati dinamicamente, impedendo alla blacklist statica basata su dominio di mitigare efficacemente le minacce.

Percorsi di reindirizzamento documentati e server di hosting

I ricercatori della sicurezza hanno ricondotto le attività CDN di FUNNULL a una serie di server di reindirizzamento dannosi, tra cui:

• googie-anaiytics.com (imita Google Analytics per guadagnare credibilità)
• kuurza.com
• unione.macoms.la
• nuovocrbpc.com
• unionadjs.com
• ktyk2n.com
• weiyue.buzz

Questi domini facilitano l’implementazione di attacchi di seconda fase, garantendo che, anche se un dominio primario viene inserito nella blacklist, un’infrastruttura alternativa resti operativa.

Inoltre, l’esistenza di DGA di fallback come xhspbza.com, wweexs.com, wweeza.com e tyyrza.com illustra la natura automatizzata dell’ecosistema dei criminali informatici di FUNNULL. Questi domini ruotano continuamente, rendendo particolarmente impegnativo il rilevamento e la mitigazione in tempo reale.

Sfruttamento dell’API Cloudflare e meccanismi di persistenza avanzati

L’infrastruttura di attacco FUNNULL incorpora metodi avanzati per mantenere la persistenza a lungo termine all’interno di ambienti compromessi. Gli analisti della sicurezza informatica hanno identificato credenziali API compromesse per Cloudflare e Algolia all’interno dei repository di codice FUNNULL. Ciò consente agli aggressori di:

• Manipolare dinamicamente i record DNS per sostenere le campagne di reindirizzamento.
• Evita i firewall tradizionali e i sistemi di rilevamento delle intrusioni sfruttando le ottimizzazioni della distribuzione dei contenuti.
• Offuscare le origini degli attacchi tramite livelli proxy controllati da API , mascherando il traffico dannoso.

Implicazioni per la sicurezza informatica globale

La scoperta dell’ampia rete di attacchi di FUNNULL evidenzia vulnerabilità significative nell’infrastruttura web moderna. La militarizzazione delle CDN introduce sfide senza precedenti per i professionisti della sicurezza informatica, richiedendo un’azione immediata a più livelli:

• Audit di sicurezza aziendale: le organizzazioni devono condurre audit di sicurezza esaustivi per identificare ed eliminare le dipendenze dalle CDN compromesse.
• Intervento normativo: gli enti normativi globali dovrebbero imporre una supervisione più rigorosa sui provider CDN per impedire che organizzazioni criminali informatiche riutilizzino le infrastrutture.
• Condivisione avanzata di informazioni sulle minacce: i ricercatori sulla sicurezza e i team di sicurezza informatica aziendale devono impegnarsi in iniziative collaborative di condivisione di informazioni per accelerare la mitigazione delle minacce.

Lo sfruttamento delle reti di distribuzione dei contenuti da parte di FUNNULL sottolinea un cambiamento fondamentale nelle tattiche dei criminali informatici. Inserendosi nella spina dorsale dell’infrastruttura Internet, questo attore della minaccia dimostra una capacità senza pari di sovvertire le tradizionali difese di sicurezza informatica. Le implicazioni di questa metodologia di attacco si estendono ben oltre le compromissioni isolate di siti Web, rendendo necessaria una risposta coordinata e globale per proteggere l’integrità degli ecosistemi online. Affrontare questa minaccia in evoluzione richiede contromisure immediate e multistrato per garantire che l’infrastruttura digitale rimanga resiliente contro tali tecniche avanzate di sfruttamento informatico.

Triad Nexus: indicatori avanzati di attacchi futuri e mappatura delle infrastrutture

Il panorama in evoluzione dell’attività dei criminali informatici richiede un approccio in tempo reale per tracciare gli indicatori di attacchi futuri (IOFA). L’infrastruttura connessa a FUNNULL e alle sue reti affiliate rappresenta un sofisticato e altamente adattabile sindacato di criminali informatici. La presenza di domini generati algoritmicamente, server di hosting ruotati strategicamente e tattiche di offuscamento richiede un livello di analisi senza precedenti per prevedere con precisione la traiettoria delle future campagne dannose.

Ampliare il quadro degli IOFA

Le ultime informazioni raccolte dalle indagini in corso rivelano una correlazione crescente tra l’infrastruttura di FUNNULL e una rete transnazionale di attori di minacce coinvolti in frodi su larga scala, phishing, cyberspionaggio e operazioni finanziarie clandestine. Integrando l’acquisizione di dati in tempo reale, l’analisi dei domini storici e l’intelligence DNS incrociata, Silent Push ha identificato con successo domini ad alto rischio che fungono da vettori di attacco attivi o emergenti.

Un recente esame forense dell’ecosistema FUNNULL suggerisce che la rete dei criminali informatici sta sfruttando un modello ibrido che incorpora sia server di comando centralizzati sia algoritmi di generazione di domini decentralizzati (DGA). Questa configurazione consente spostamenti di dominio quasi istantanei, rendendo obsolete le blacklist tradizionali nel giro di poche ore.

Domini IOFA chiave e modelli operativi

Infrastruttura ad alto rischio identificata:

• vk6a2rmn-u.funnull[.]vip
• 6ce0a6db.u.fn03[.]vip
• vk6a2rmn-u.funnull01[.]vip
• www.cmegrouphkpd[.]info
• divertimento[.]vip
• divertimento01[.]vip
• fn03[.]vip
• scommessa
• hiflyk47344[.]in alto
• riempimento in polistirolo[.]io

Domini secondari appena rilevati per attacchi coordinati:

• 6289[.]com
• threevip[.]cc/?u=6289[.]com
• 15991t[.]com
• 12abb97f.u.fn03[.]vip
• aldo.shopaldo1[.]com
• aldosopia[.]com
• h5[.]aldosop[.]com
• asda.aseasda[.]com
• asda[.]assedda[.]com
• asda[.]assedaa[.]com
• bcbdsgs[.]com
• bonanza.da[.]com
• jdfraa[.]negozio
• jdfroa[.]com
• cartier.cartierate[.]com
• incassatore.cashewargi[.]com

Manipolazione DNS geo-distribuita

Una caratteristica sofisticata di questa infrastruttura malevola è la sua dipendenza da meccanismi di routing DNS geo-distribuiti, che consentono ai criminali informatici di modificare dinamicamente le risoluzioni di dominio in base alla posizione geografica della parte richiedente. Ciò significa che gli utenti interessati in diverse regioni potrebbero sperimentare comportamenti malevoli completamente separati a seconda della loro geolocalizzazione IP.

È stato scoperto che recenti script di esecuzione silenziosa incorporati nei domini associati a FUNNULL sfruttano tecniche avanzate di risoluzione DNS, tra cui:

• Fluxing DNS basato sul tempo per impedire l’inserimento statico nella blacklist.
• Rotazione IP specifica ASN utilizzando subnet dirottate dai provider di servizi cloud.
• Shadowing del dominio tramite credenziali del registrante rubate, che consente agli aggressori di operare all’interno di infrastrutture apparentemente legittime.

Reti di distribuzione di contenuti (CDN) armate

L’impronta forense degli attacchi ospitati da FUNNULL suggerisce che la loro metodologia include lo sfruttamento di CDN armati per la propagazione di attacchi scalabili. Gli elementi chiave di questa strategia includono:

• Reti di reindirizzamento del traffico:
  • unione.macoms.la
  • unionadjs.com
  • nuovocrbpc.com
  • ktyk2n.com
  • weiyue.buzz
• Domini basati su DGA nelle campagne di malvertising:
  • Italiano:
  • wweexs.com
  • wweeza.com
  • tyyrza.com

Queste reti hanno un duplice scopo:

• Come canale di distribuzione per payload malware .
• Come intermediario per nascondere le destinazioni finali delle frodi finanziarie .

Il ruolo di FUNNULL negli ecosistemi ibridi di frode informatica

Parallelamente al suo supporto infrastrutturale per la distribuzione di phishing e malware, FUNNULL è stata implicata in complesse transazioni finanziarie sotterranee che si intersecano con e-commerce fraudolenti, riciclaggio di criptovalute e reti di gioco d’azzardo illecite. L’esame dei log di propagazione DNS suggerisce che FUNNULL regola attivamente le sue configurazioni CDN per evitare il rilevamento da parte di:

• Utilizzo del mascheramento del dominio basato su CDN per offuscare gli URL di phishing.
• Utilizzo della generazione di traffico DNS sintetico per interrompere gli strumenti di analisi della sicurezza informatica.
• Sfruttare l’anonimizzazione delle transazioni blockchain per facilitare il movimento illecito di fondi.

Intelligence predittiva sulle minacce di Silent Push

Sfruttando analisi predittive e modelli di minacce in tempo reale, Silent Push fornisce feed di intelligence sulle minacce proattive ai clienti aziendali, offrendo un rilevamento in fase iniziale dei nuovi domini associati a FUNNULL generati. Gli attributi chiave di questi feed di intelligence includono:

• Correlazione automatizzata dei modelli DGA per identificare i domini di nuova generazione con punteggi di minaccia elevati.
• Mappatura di attribuzione multilivello per collegare domini in evoluzione con cluster di attacchi storici.
• Impronta comportamentale di CDN dannosi per anticipare le reti di reindirizzamento emergenti.

L’espansione del CDN di FUNNULL: un’infrastruttura informatica senza precedenti in Europa

Le infrastrutture dei criminali informatici sfruttano da tempo le Content Delivery Network (CDN) globali, ma la scala e l’adattabilità della rete di FUNNULL superano i modelli di minaccia convenzionali. La progressione di questa CDN dannosa è stata caratterizzata dalla sua allocazione strategica di server Point of Presence (PoP), dalla manipolazione dei record CNAME per offuscare la sua impronta digitale e dall’integrazione di algoritmi di generazione di domini (DGA) che facilitano l’espansione dinamica. Con ogni evoluzione, FUNNULL ha ampliato la sua presenza in Europa, integrandosi sempre più in ambienti ospitati nel cloud, reti aziendali e infrastrutture digitali ignare.

L’attuale fase di analisi dell’architettura di FUNNULL rivela che la CDN ha adattato la sua strategia di risoluzione del dominio, utilizzando sofisticate catene di risoluzione multi-hop che reindirizzano dinamicamente le query DNS attraverso più livelli di server. Questo metodo non solo garantisce la resilienza contro i tentativi di rimozione, ma massimizza anche la velocità di risposta tramite algoritmi di routing ottimizzati. La mappatura delle posizioni PoP di FUNNULL indica inoltre una preoccupante dipendenza da provider di hosting di alta reputazione, tra cui numeri di sistema autonomi (ASN) basati in Europa che facilitano inconsapevolmente la sua infrastruttura tramite allocazioni IP compromesse o in affitto.

L’analisi della telemetria DNS degli ultimi sei mesi dimostra che FUNNULL ha aumentato significativamente la sua dipendenza dall’infrastruttura cloud europea, con un notevole aumento della distribuzione PoP in Germania, Paesi Bassi, Francia e Italia. L’uso tattico di queste posizioni suggerisce un intento di sfruttare le disposizioni del GDPR che limitano la capacità delle agenzie di controllo di eseguire una sorveglianza digitale completa sull’attività localizzata del server. La presenza di nodi FUNNULL all’interno delle giurisdizioni europee complica anche gli sforzi per smantellare le sue operazioni, poiché le barriere legali creano ritardi procedurali nella sospensione del dominio e nell’interdizione dell’infrastruttura.

Ulteriori indagini sull’uso di sistemi DGA automatizzati da parte di FUNNULL hanno prodotto informazioni fondamentali sulle sue capacità di rapida espansione. Gli algoritmi responsabili della generazione di questi domini mostrano un modello di entropia avanzato, che consente la produzione di sottodomini quasi impercettibili che eludono l’applicazione della blacklist tradizionale. Analizzando oltre 1,5 milioni di risoluzioni CNAME inverse dal 2021 a oggi, i ricercatori hanno identificato circa 200.000 nomi host univoci attualmente attivi nell’ecosistema FUNNULL. Questi domini mostrano un’elevata correlazione con applicazioni di trading fraudolente, piattaforme di scommesse false e siti Web di truffe finanziarie, ognuno dei quali opera sotto le mentite spoglie di istituzioni finanziarie affidabili e società di gioco d’azzardo regolamentate.

La capacità della CDN di FUNNULL di integrarsi con reti autonome decentralizzate (DAN) complica ulteriormente gli sforzi di mitigazione. A differenza delle architetture botnet convenzionali, che si basano su un’infrastruttura statica di comando e controllo (C2), FUNNULL impiega un approccio adattivo che disperde il controllo operativo tramite una rete di overlay ridondante. Questa struttura riduce al minimo l’impatto di takedown localizzati, consentendo una riconfigurazione quasi istantanea dei nodi attivi. Distribuendo il traffico della CDN su più domini di routing sovrapposti, FUNNULL massimizza la sua resilienza, offuscando al contempo la relazione tra singoli siti Web dannosi e la loro infrastruttura backend.

L’analisi del traffico di rete indica che FUNNULL affitta attivamente spazio IP dai principali provider cloud europei, tra cui operatori backbone di livello 1 non divulgati. Questa rivelazione sottolinea l’urgente necessità di un controllo più approfondito nelle pratiche di leasing di domini e nella gestione della reputazione IP. La persistente infiltrazione di nodi collegati a FUNNULL negli ambienti cloud suggerisce una vulnerabilità sistemica nel modo in cui le autorizzazioni di distribuzione dei contenuti vengono assegnate e monitorate a livello infrastrutturale. Sfruttando il leasing di domini effimero e le istanze di hosting virtualizzate di breve durata, FUNNULL aggira le metodologie di tracciamento convenzionali e rimane una minaccia persistente all’interno degli ecosistemi digitali europei.

La continua proliferazione del CDN di FUNNULL nel panorama informatico europeo pone una sfida sempre più complessa per le forze dell’ordine e le agenzie di sicurezza informatica. Gli sforzi per contrastare la sua espansione richiedono lo sviluppo di framework di interdizione proattivi che diano priorità alla modellazione dinamica delle minacce, all’analisi comportamentale della rete in tempo reale e alla cooperazione intergiurisdizionale tra entità di regolamentazione. Mentre questa infrastruttura continua a evolversi, solo una risposta concertata e tecnicamente sofisticata sarà in grado di smantellare la presenza radicata di FUNNULL all’interno della dorsale digitale critica dell’Europa.

Compromesso TeamViewer: attribuzione APT29

Quello che è successo?

Il  26 giugno 2024 ,  TeamViewer , un fornitore leader di soluzioni di accesso remoto e connettività, ha rilevato un’irregolarità nel suo ambiente IT aziendale interno. L’azienda ha attribuito la violazione ad  APT29 , un gruppo sponsorizzato dallo stato russo noto anche come  Cozy Bear .

Dettagli chiave

• Ambito dell’attacco : secondo l’indagine di TeamViewer, la violazione è stata contenuta nell’ambiente IT aziendale. Non ci sono prove che l’avversario abbia avuto accesso all’ambiente del prodotto o ai dati dei clienti.
• Attribuzione ad APT29 : APT29 è noto per aver preso di mira organizzazioni e governi di alto profilo, spesso utilizzando tecniche sofisticate per rubare informazioni sensibili.
• Implicazioni : sebbene la violazione non abbia colpito direttamente i clienti di TeamViewer, evidenzia i rischi posti dagli attori sponsorizzati dallo Stato alle infrastrutture critiche e agli strumenti di accesso remoto.

Impatto su Europa e Italia

• Vulnerabilità del lavoro da remoto : con l’aumento del lavoro da remoto, strumenti come TeamViewer sono essenziali per le aziende in tutta Europa, Italia inclusa. Una compromissione di tali strumenti potrebbe avere gravi conseguenze per le industrie che si affidano al supporto remoto.
• Spionaggio sponsorizzato dallo Stato : l’attacco è in linea con le tendenze più ampie dello spionaggio informatico sponsorizzato dallo Stato che prende di mira le organizzazioni europee, in particolare in settori come la tecnologia, la finanza e la difesa.

Attività di spionaggio nella regione Asia-Pacifico

Tifone del lino: mira a Taiwan e Corea del Sud

Tra  novembre 2023 e aprile 2024 , il presunto gruppo sponsorizzato dallo Stato cinese  Flax Typhoon  ha condotto attività di spionaggio prendendo di mira principalmente   entità taiwanesi  e  sudcoreane :

• Obiettivi : governo taiwanese, istituzioni accademiche, aziende tecnologiche e organizzazioni diplomatiche sono stati pesantemente presi di mira. Flax Typhoon ha anche ampliato le sue operazioni per includere entità a Hong Kong, Malesia, Laos, Stati Uniti, Gibuti, Kenya e Ruanda.
• Motivazioni geopolitiche : data la base di Flax Typhoon a Fuzhou, nella provincia cinese del Fujian, è probabile che le attività del gruppo siano volte a supportare gli sforzi di raccolta di informazioni di Pechino sulle relazioni economiche, commerciali e diplomatiche di Taipei, nonché sui progressi nelle tecnologie critiche.

Xctdoor Backdoor: gruppo APT nordcoreano Lazarus

Una backdoor mai vista prima, chiamata  Xctdoor,  è stata utilizzata per colpire  aziende coreane , in particolare nei settori della difesa e della produzione. Gli aggressori hanno sfruttato il server di aggiornamento di un’azienda coreana di pianificazione delle risorse aziendali (ERP) per distribuire malware:

• TTP : le tattiche, le tecniche e le procedure (TTP) utilizzate in questo attacco assomigliano a quelle del  gruppo nordcoreano APT Lazarus , noto per il suo coinvolgimento nella criminalità informatica e nello spionaggio.
• Implicazioni : tali attacchi evidenziano la crescente sofisticazione dei gruppi sponsorizzati dallo Stato e la loro capacità di sfruttare le catene di fornitura per infiltrarsi in obiettivi di alto valore.

Tendenze della criminalità informatica in Europa e in Italia

Aumento di StrelaStealer a giugno 2024

Nella terza settimana di giugno 2024, gli analisti europei della sicurezza informatica hanno osservato un aumento significativo nella diffusione di  StrelaStealer , un infostealer che prende di mira le credenziali di posta elettronica di  Outlook  e  Thunderbird :

• Paesi bersaglio : gli attacchi si sono concentrati in  Polonia, Spagna, Italia e Germania .
• Catena di infezione : il malware è stato distribuito tramite JavaScript, con controlli aggiuntivi per evitare di infettare i sistemi in Russia, il che indica un attacco deliberato alle nazioni occidentali.
• Impatto sull’Italia : gli utenti italiani sono stati tra le principali vittime, con credenziali rubate potenzialmente vendute sui mercati del dark web o utilizzate per ulteriori attacchi.

Campagna Infostealer di 0bj3ctivity

Un’altra ondata di una campagna malware in lingua inglese mirata a distribuire l’  infostealer 0bj3ctivity  ha colpito l’Italia. Le caratteristiche principali di questa campagna includono:

• Metodo di distribuzione : per avviare le infezioni venivano utilizzate e-mail contenenti immagini sfocate e collegamenti a Discord.
• Evoluzione : a differenza delle precedenti campagne che utilizzavano file VBS, questa ondata ha utilizzato JavaScript, dimostrando l’adattabilità dei criminali informatici.

Attacchi del team RansomHub

L’operatore ransomware  RansomHub Team  ha rivendicato la responsabilità della compromissione di due aziende italiane:

• Cloud Europe Srl : Specializzata nella progettazione e gestione di data center.
• Fusco Srl : Opera nel settore agricolo, producendo mangimi per animali.
• Impatto : questi attacchi evidenziano la vulnerabilità delle PMI in Italia al ransomware, con potenziali interruzioni delle operazioni e violazioni dei dati.

L’impatto di FUNNULL sull’Europa con un focus sull’Italia: un’analisi verificata e dettagliata

L’aumento della criminalità informatica in Europa ha assunto una forma nuova e allarmante con l’emergere di FUNNULL, una Content Delivery Network (CDN) legata alla Cina che si è rapidamente affermata come un importante abilitatore di frodi informatiche. Sfruttando le principali piattaforme cloud come Amazon Web Services (AWS) e Microsoft Azure, FUNNULL ha orchestrato campagne sofisticate mirate a cittadini, aziende e istituzioni finanziarie europee. Con l’Italia tra i paesi più gravemente colpiti, questo rapporto presenta un’analisi meticolosamente verificata e altamente tecnica dell’impatto, delle metodologie operative e delle risposte delle forze dell’ordine associate alle attività informatiche di FUNNULL in tutta Europa.

Esame tecnico delle operazioni di FUNNULL in Europa

FUNNULL utilizza un arsenale avanzato di metodologie di criminalità informatica, progettate per massimizzare la persistenza, eludere il rilevamento e sfruttare le vulnerabilità nell’infrastruttura digitale. Le tecniche chiave includono:

• Riciclaggio delle infrastrutture:  i criminali informatici dietro FUNNULL sfruttano provider cloud affidabili come AWS, Azure e Google Cloud per mascherare attività dannose, “riciclando” di fatto la propria infrastruttura per farla apparire legittima.
• Domain Fronting:  FUNNULL maschera il traffico dannoso instradandolo attraverso domini cloud legittimi, rendendolo più difficile da bloccare per i sistemi di sicurezza.
• Reti DNS Fast Flux:  ciclando rapidamente attraverso una rete distribuita di host compromessi, FUNNULL garantisce che le sue campagne di phishing e malware rimangano operative nonostante gli sforzi di rimozione.
• Attacchi di phishing basati sull’intelligenza artificiale:  i framework di phishing automatizzati basati sull’apprendimento automatico ottimizzano i vettori di attacco, aumentando il coinvolgimento delle vittime e massimizzando il furto di credenziali.
• Attacchi alla Supply Chain:  FUNNULL ha dimostrato la capacità di compromettere librerie software ampiamente utilizzate, come l’  attacco polyfill.io del 2024 , che ha colpito migliaia di siti web europei.

Queste metodologie rendono FUNNULL particolarmente difficile da tracciare e mitigare, creando rischi persistenti per l’infrastruttura digitale europea.

Statistiche verificate sull’impatto di FUNNULL in Europa

• Totale nomi host attivi:  oltre  200.000 domini in tutto il mondo , di cui  oltre 60.000 indirizzati direttamente all’Europa .
• Danni finanziari annuali:  si stima che i reati informatici associati a FUNNULL costino all’Europa  500 milioni di euro all’anno .
• Paesi più colpiti:  Italia, Germania, Francia, Regno Unito e Spagna sono stati identificati come i più colpiti.
• Percentuale di successo del phishing:  si stima che il  22% delle vittime di phishing  prese di mira da FUNNULL invii inavvertitamente le proprie credenziali.
• Associazione ransomware:  l’infrastruttura di FUNNULL è stata collegata alla distribuzione dei  ceppi ransomware LockBit e Conti .

Principali vettori di attacco in Europa

Campagne di phishing finanziario che prendono di mira le principali banche europee

Le istituzioni finanziarie europee restano i principali obiettivi delle campagne di phishing di FUNNULL. Queste sofisticate operazioni coinvolgono pagine di login fraudolente progettate per catturare le credenziali degli utenti prima di inoltrarle ai criminali informatici.

Caso di studio: Deutsche Bank (Germania)

• Gli aggressori si sono spacciati per Deutsche Bank, inviando e-mail di phishing di massa che richiedevano una “verifica urgente dell’account”.
• Le vittime venivano reindirizzate a un dominio controllato da FUNNULL che imitava il portale ufficiale della Deutsche Bank.
• Si stima che i danni abbiano superato  i 10 milioni di euro,  poiché i criminali informatici hanno prosciugato gli account e venduto le credenziali sui mercati del dark web.

Case Study: Intesa Sanpaolo (Italy)

• All’inizio del 2024, le autorità italiane hanno scoperto una diffusa campagna di phishing rivolta ai  clienti di Intesa Sanpaolo .
• Le e-mail che imitavano la corrispondenza ufficiale della banca reindirizzavano le vittime a pagine di accesso fraudolente ospitate sui server AWS.
• Oltre  2.000 clienti italiani  hanno subito transazioni non autorizzate per un totale di  5 milioni di euro  di perdite.

Siti web di gioco d’azzardo falsi che sfruttano il mercato europeo

FUNNULL ha distribuito migliaia di siti web di gioco d’azzardo fraudolenti per rubare depositi e dati di carte di credito.

Dati chiave da Italia e Regno Unito:

•  Nel 2023, l’Italia ha registrato  oltre 5.000 reclami da parte dei consumatori relativi a piattaforme di gioco fraudolente.
• Le perdite finanziarie in Italia hanno superato  i 30 milioni di euro , con i truffatori che hanno utilizzato annunci sui social media per attirare le vittime.
• Nel Regno Unito, le autorità hanno individuato   frodi per oltre 50 milioni di euro collegate ai siti di gioco d’azzardo gestiti da FUNNULL.

Truffe sugli investimenti che sfruttano gli investitori europei

FUNNULL ha anche creato elaborate piattaforme di investimento false, progettate per ingannare gli investitori europei e indurli a effettuare depositi che non saranno mai recuperabili.

Caso di studio: CryptoMax Italia (2024)

• Una truffa sulle criptovalute in stile Ponzi orchestrata utilizzando l’infrastruttura ospitata da FUNNULL.
• Alle vittime venivano promessi “investimenti garantiti ad alto rendimento”.
• Oltre  1.000 investitori italiani  hanno subito perdite cumulative per  5 milioni di euro .

Gli attacchi alla Supply Chain stanno sconvolgendo l’infrastruttura digitale europea

L’  attacco polyfill.io (2024)  rimane uno degli incidenti informatici più devastanti attribuiti a FUNNULL.

• Sono stati compromessi oltre  110.000 siti web in tutto il mondo , tra cui  migliaia di aziende europee .
• I siti interessati hanno caricato inconsapevolmente codice JavaScript dannoso proveniente da un’infrastruttura CDN compromessa.
• Solo in Italia,  si stima che le piattaforme di e-commerce abbiano perso circa 20 milioni di euro  a causa di furti di dati dei clienti e frodi.

Italia: l’epicentro europeo delle operazioni di criminalità informatica di FUNNULL

L’Italia è stata colpita in modo sproporzionato da FUNNULL, con un forte aumento dei casi di frode informatica legati al gruppo.

Statistiche verificate sull’esposizione dell’Italia

• Casi di frode informatica segnalati (2023-2024):  oltre  10.000 incidenti  legati a FUNNULL.
• Danni finanziari:  superano i  100 milioni di euro , con una perdita media per vittima di  2.000 euro .
• Settori interessati:  servizi bancari online, e-commerce, investimenti digitali e servizi governativi.

Risposta delle forze dell’ordine italiane

Polizia Postale e delle Comunicazioni (Polizia Postale)

• Avviata  un’indagine congiunta con l’INTERPOL  per rintracciare i criminali informatici collegati a FUNNULL.
• Sospesi con successo  oltre 1.500 domini italiani fraudolenti  legati a FUNNULL.

Agenzia nazionale per la sicurezza informatica (ACN)

• Implementati  sistemi di monitoraggio in tempo reale  per rilevare campagne di phishing affiliate a FUNNULL.
• Ha collaborato con aziende private di sicurezza informatica per  tracciare le transazioni in criptovaluta associate a FUNNULL .

Rafforzare il quadro giuridico e di sicurezza informatica dell’Italia

• Applicazione del GDPR:  le aziende che non proteggono i dati degli utenti dalle violazioni FUNNULL vanno incontro a sanzioni severe.
• Accelerazione della rimozione dei domini:  le nuove normative consentono alle autorità italiane di bloccare i domini dannosi entro  24 ore .

La minaccia crescente di FUNNULL: cryptojacking, attacchi alla supply chain e sovversione della sicurezza informatica globale

L’evoluzione delle minacce informatiche ha preso una piega sofisticata e pericolosa con l’emergere di FUNNULL , un’infrastruttura ombra che è diventata un fattore chiave per le frodi finanziarie, gli attacchi alla supply chain e le operazioni di cryptojacking. L’ incidente di polyfill.io , inizialmente liquidato come uno schema di reindirizzamento verso piattaforme di gioco d’azzardo illecite, ora sembra essere solo una frazione del più ampio ecosistema FUNNULL , che si è incorporato nelle reti governative, nei servizi cloud e nelle violazioni della sicurezza informatica di alto profilo, comprese quelle all’interno delle agenzie federali statunitensi.

Recenti risultati investigativi suggeriscono che l’infrastruttura di FUNNULL è direttamente collegata all’operazione di cryptojacking che ha compromesso l’Agenzia statunitense per lo sviluppo internazionale (USAID) , tra gli altri obiettivi di alto valore. Questa rivelazione indica che FUNNULL non è semplicemente una CDN fraudolenta, ma un abilitatore sistemico del cybercrimine con ampie capacità di distribuzione di servizi bancari sotterranei, riciclaggio di denaro e malware.

Collegare i puntini: come FUNNULL ha orchestrato una campagna di cryptojacking contro USAID

• Acquisizione di Polyfill.io e infiltrazione nella supply chain
  • FUNNULL ha acquisito il controllo di polyfill.io, una libreria JavaScript ampiamente utilizzata che interessa oltre 110.000 siti web , tra cui quelli aziendali, governativi e finanziari.
  • Lo script polyfill.js compromesso ha iniettato codice dannoso in migliaia di domini, sfruttando il suo accesso per distribuire payload malware secondari, tra cui script di cryptojacking che hanno dirottato segretamente le risorse di elaborazione.
• Attacco con password spray contro USAID
  • Microsoft ha informato USAID che un account di amministratore globale privilegiato era stato violato tramite un attacco password spray , una tecnica che si allinea alle note tattiche FUNNULL.
  • Il ruolo di FUNNULL nell’offuscare le origini degli attacchi mediante catene di risoluzione DNS multi-hop indica che l’infrastruttura ha consentito agli aggressori di nascondere i tentativi di credential-stuffing , aggirando il tradizionale monitoraggio della sicurezza.
• Dirottamento delle risorse cloud tramite infrastruttura collegata a FUNNULL
  • Una volta entrati nel sistema dell’USAID, gli aggressori hanno creato account amministrativi secondari , una strategia osservata anche in altre entità compromesse da FUNNULL.
  • Questi account sono stati utilizzati per distribuire processi di cryptomining su istanze cloud Azure di USAID , causando spese informatiche non autorizzate stimate in 500.000 dollari in un breve lasso di tempo.
  • Lo sfruttamento dell’infrastruttura di Microsoft Azure rispecchia precedenti scoperte in cui le botnet basate su FUNNULL hanno dirottato il cloud computing per il mining illecito di criptovalute.
• L’uso del CDN di FUNNULL per la consegna del payload di cryptojacking
  • Le indagini hanno rivelato che polyfill.io non si limitava a inviare reindirizzamenti fraudolenti, ma ospitava e distribuiva anche malware di cryptojacking .
  • I payload di malware provenienti da domini gestiti da FUNNULL (bootcss.com, bootcdn.net, staticfile.org) sono stati distribuiti tramite iniezioni JavaScript, prendendo di mira sia le reti federali sia gli account cloud del settore privato .
  • Ciò è in linea con le tendenze storiche del cryptojacking, in cui risorse web compromesse iniettano script che estraggono segretamente Monero o Ethereum utilizzando i cicli della CPU cloud delle vittime.
• Legami finanziari sotterranei: il ruolo di FUNNULL nel riciclaggio di criptovalute
  • Le prove indicano l’ integrazione di FUNNULL con exchange di criptovalute clandestini , che sono stati implicati nel riciclaggio di proventi illeciti derivanti da truffe legate alla macellazione dei maiali, operazioni di ransomware e profitti derivanti dal cryptojacking .
  • Gli indicatori di attacchi futuri (IOFA) di Silent Push Enterprise includono transazioni finanziarie basate su USDT provenienti da domini FUNNULL , rafforzando l’ipotesi che il sindacato FUNNULL ricicli le risorse di calcolo rubate trasformandole in asset digitali .

Perché la campagna di Cryptojacking di FUNNULL è più di un semplice furto finanziario

A differenza delle tradizionali campagne di cryptojacking, che si concentrano esclusivamente sul guadagno finanziario , l’operazione di FUNNULL presuppone un sindacato sostenuto dallo Stato o altamente organizzato che sfrutta il cryptojacking come vettore di ingresso per obiettivi di cyberspionaggio più ampi.

• Strategia di attacco multistrato
  • La fase iniziale del cryptojacking sembra essere stata un’infiltrazione di prova : FUNNULL ha ottenuto punti d’appoggio amministrativi all’interno di infrastrutture cloud critiche , fornendo una testa di ponte per potenziali esfiltrazioni di dati, spionaggio o future compromissioni della supply chain.
  • L’uso parallelo di polyfill.io per phishing, frodi sul gioco d’azzardo e furto di credenziali finanziarie rafforza ulteriormente la teoria secondo cui il cryptojacking era solo una parte di una campagna di criminalità informatica più ampia .
• Legami con gli attori della minaccia degli stati-nazione
  • Rapporti investigativi dimostrano che Lazarus Group, affiliato alla Corea del Nord, e l’APT41 cinese (Double Dragon) hanno già utilizzato tattiche di cryptojacking all’interno delle reti governative statunitensi .
  • L’ampia infrastruttura CDN di FUNNULL si sovrappone alle reti di hosting note controllate da APT , sollevando notevoli preoccupazioni circa l’ utilizzo di FUNNULL da parte di attori statali come piattaforma di cybercrime-as-a-service .
• Sfruttamento delle infrastrutture del governo statunitense ed europeo
  • La violazione dei dati da parte dell’USAID tramite Microsoft Azure rispecchia precedenti incidenti in cui l’infrastruttura cloud europea è stata presa di mira da campagne di cryptojacking.
  • L’aumento delle ubicazioni Point-of-Presence (PoP) di FUNNULL in Germania, Paesi Bassi e Italia è in linea con i modelli di furto di risorse cloud osservati in altre operazioni informatiche sostenute da stati.

Infrastruttura di FUNNULL: una catastrofe crescente per la sicurezza informatica

Gli esperti di sicurezza informatica hanno descritto l’attività di FUNNULL come un ecosistema di criminalità informatica multiforme , che sfrutta tutto, dagli attacchi alla supply chain e al credential stuffing al cryptojacking e alle frodi finanziarie su larga scala . Le principali preoccupazioni includono:

• L’uso dell’hosting effimero per evitare il rilevamento
  • Gli algoritmi di generazione di domini (DGA) di FUNNULL generano continuamente nuovi sottodomini , rendendo inefficace la blacklist.
  • Le catene di risoluzione DNS offuscano la distribuzione di payload dannosi , complicando le indagini forensi.
• Debolezze sistemiche nella sicurezza del cloud
  • L’attacco all’USAID evidenzia come gli ambienti di test e gli account privilegiati rimangano vulnerabili allo sfruttamento .
  • Il cryptojacking rimane un vettore di attacco non rilevato in molte aziende , dove le risorse cloud inutilizzate vengono silenziosamente prosciugate per calcoli illeciti .
• Impronta digitale persistente nei data center europei
  • Le indagini dimostrano che FUNNULL sfrutta i provider europei di cloud hosting per implementare e ridistribuire il suo CDN dannoso.
  • Le restrizioni del GDPR in materia di sorveglianza e rimozione dei domini creano ritardi nell’applicazione delle norme, consentendo a FUNNULL di mantenere una presenza ininterrotta.

L’urgente necessità di una risposta globale coordinata contro la FUNNULL

L’ intersezione tra l’infrastruttura di FUNNULL, le operazioni di cryptojacking e le violazioni del governo degli Stati Uniti sottolinea un fallimento sistemico della sicurezza informatica che si estende oltre la frode finanziaria. Non si tratta più di singoli incidenti di cryptomining, ma di un sindacato di criminali informatici su larga scala con capacità di stato nazionale, in grado di infiltrarsi in infrastrutture critiche governative, finanziarie e aziendali.

Ora è necessaria una strategia multinazionale per smantellare FUNNULL , che comprenda:

• Meccanismi di blocco IP e DNS transfrontalieri
  • Gli enti regolatori dell’UE, degli USA e dell’Asia devono implementare blacklist coordinate che prendano di mira i domini associati a FUNNULL.
• Regolamentazione delle policy di sicurezza dei fornitori di servizi cloud
  • È necessario un controllo più rigoroso dei contratti di locazione di domini per impedire ad autori malintenzionati di sfruttare l’infrastruttura cloud.
• Interruzione mirata delle reti finanziarie sotterranee
  • Il blocco dei percorsi di riciclaggio USDT collegati agli indirizzi FUNNULL comprometterà notevolmente le sue operazioni finanziarie.
• Azione legislativa sulla sicurezza della catena di fornitura
  • I governi devono imporre un controllo completo delle librerie JavaScript di terze parti , garantendo un intervento immediato in caso di segnali di compromissione .
• Condivisione di intelligence tra settore pubblico e privato
  • Le aziende di sicurezza informatica aziendale devono collaborare con le forze dell’ordine per rintracciare i vettori di attacco di FUNNULL e impedirne l’evoluzione in un’arma informatica ingestibile .

La connessione FUNNULL-cryptojacking è solo l’inizio : con la sua vasta CDN e infrastruttura ombra, questo sindacato ha dimostrato la capacità di evolversi e sfruttare continuamente le debolezze sistemiche nella sicurezza del cloud, nelle frodi finanziarie e nelle misure di sicurezza informatica governative. Senza un intervento immediato e coordinato , l’espansione di FUNNULL minaccerà la sicurezza informatica globale su una scala senza precedenti.

Copyright di debugliesintel.com
La riproduzione anche parziale dei contenuti non è consentita senza previa autorizzazione – Riproduzione riservata