Un reciente descubrimiento ha dejado atónitos a los especialistas en ciberseguridad. Una red de cibercrimen en Indonesia ha estado activa durante más de 14 años, operando de manera casi ininterrumpida. Este hallazgo, realizado por los expertos de Malanta.ai, desvela un panorama de actividades ilegales que podría sugerir la participación de un estado en lugar de meros criminales cibernéticos.
Lo que comenzó como una serie de sitios web de apuestas ha evolucionado hasta convertirse en una infraestructura sofisticada y bien financiada, comparable a las operaciones de actores patrocinados por un estado.
Este ecosistema no solo incluye sitios de juego, sino también un vasto número de dominios y aplicaciones maliciosas que han generado preocupación entre los investigadores.
Un ecosistema de cibercrimen a gran escala
La investigación indica que la red ha estado activa desde al menos 2011, controlando aproximadamente 328,039 dominios. De estos, más de 90,000 eran dominios hackeados. Se encontraron más de 1,400 subdominios comprometidos y otros 236,000 dominios comprados que redirigían a los usuarios hacia plataformas de apuestas ilegales.
Este panorama revela la magnitud y la complejidad de la operación, que ha logrado infiltrarse en infraestructuras gubernamentales y empresariales.
Malware y aplicaciones maliciosas
Uno de los aspectos más alarmantes de este desarrollo es el descubrimiento de miles de aplicaciones maliciosas para dispositivos Android, distribuidas a través de la infraestructura pública de Amazon Web Services. Estas aplicaciones funcionan como droppers, que se disfrazan de plataformas de apuestas legítimas, pero en realidad, instalan malware que permite a los atacantes acceder a los dispositivos comprometidos sin el conocimiento del usuario.
Además, los comandos para estas aplicaciones provienen de Google Firebase Cloud Messaging, lo que permite a los criminales enviar instrucciones directamente a los dispositivos infectados.
Conexiones con el gobierno y ocultamiento de tráfico
Los analistas de Malanta también identificaron que algunos de los subdominios comprometidos estaban alojados en servidores de entidades gubernamentales. Los atacantes utilizaban proxies inversos basados en NGINX para interrumpir conexiones TLS en dominios gubernamentales legítimos, lo cual les permitía ocultar el tráfico de comando y control como si fueran comunicaciones oficiales.
Esto no solo pone en riesgo la infraestructura gubernamental, sino que también plantea preguntas sobre el posible soporte o complicidad del estado en estas actividades ilegales.
Impacto en la seguridad y el robo de datos
Como resultado de esta operación, se han recopilado más de 51,000 credenciales robadas de plataformas de apuestas, además de un número significativo de dispositivos Android infectados y subdominios secuestrados que circulan en la web oscura. La capacidad de los atacantes para utilizar infraestructura confiable para llevar a cabo cibercrímenes a gran escala es alarmante y resalta la necesidad de una mayor vigilancia y acción por parte de las autoridades.
Mientras la comunidad de seguridad cibernética sigue analizando la magnitud de esta red, un punto crucial que surge es la pregunta de si lo que inicialmente se percibió como simple cibercrimen podría en realidad ser una operación respaldada por un estado. La sofisticación y el financiamiento detrás de esta infraestructura son típicos de las capacidades de actores de amenazas patrocinados por gobiernos y no de delincuentes comunes.
Acciones necesarias para enfrentar la amenaza
El descubrimiento de esta red de cibercrimen en Indonesia es un recordatorio de que las amenazas cibernéticas pueden estar más cerca de lo que parecen. Los investigadores y las autoridades deben trabajar juntos para desmantelar estas operaciones y proteger a los ciudadanos de ser víctimas de fraudes y robos de datos. La colaboración entre el sector público y privado será fundamental para abordar esta creciente amenaza y mantener la integridad de las infraestructuras críticas.
