Браузер для «приватности». Который оказался трояном и частью гигантской криминальной сети Vault Viper, связанной с триадами.

leer en español

Vault Viper BBIN Baoying Group Universe Browser онлайн-гемблинг Infoblox Юго-Восточная Азия
Браузер для «приватности». Который оказался трояном и частью гигантской криминальной сети Vault Viper, связанной с триадами.
Vault Viper BBIN Baoying Group Universe Browser онлайн-гемблинг Infoblox Юго-Восточная Азия

Десятки тысяч сайтов, криптовалютные транзакции и офшоры — и всё это в одной экосистеме.

image

Среди азиатских криминальных группировок, действующих в цифровом подполье Юго-Восточной Азии, выявлена структура, масштабы и техническая оснащённость которой сопоставимы с полноценной киберпреступной платформой. Команда Infoblox Threat Intel опубликовала исследование, в котором раскрывает работу сети Vault Viper — сложной инфраструктуры, связывающей нелегальный онлайн-гемблинг, хищение данных, отмывание средств и распространение вредоносного ПО. В центре этой схемы — компания Baoying Group, более известная под брендом BBIN, развернувшая в регионе целую экосистему сервисов, завуалированных под законную игровую платформу.

Одним из ключевых элементов инфраструктуры Vault Viper стал браузер Universe Browser, продвигаемый как средство обхода цензуры и защиты приватности. Фактически он представляет собой модифицированную сборку Chromium, оснащённую функциями, характерными для троянов удалённого доступа: подключение к управляющим серверам, скрытая установка программ, сбор информации о пользователях и перехват трафика. При этом весь трафик маршрутизируется через серверы, находящиеся под контролем оператора, что позволяет сохранять доступ к заражённым устройствам и использовать их как точки для дальнейшей атаки.

Исследование показало, что браузер распространяется в связке с платформами онлайн-гемблинга, разработанными BBIN. Эти решения предоставляют полный набор функций — от игровых движков до систем обработки платежей, включая поддержку анонимных криптовалютных транзакций и взаимодействие с нелегальными платёжными шлюзами. Весь программный стек адаптирован под страны с жёсткой регуляцией азартных игр, позволяя участникам обходить запреты и действовать вне поля зрения регуляторов.

DNS-анализ позволил связать сотни активных доменов с инфраструктурой Vault Viper, включая ресурсы для загрузки браузера, управляющие домены и страницы онлайн-казино. Ключевым элементом оказался автономный номер AS55547, где размещаются десятки тысяч сайтов, связанных с BBIN, включая платформы, обслуживаемые преступными группами. Помимо этого, исследователи обнаружили упоминания Vault Viper в мобильных приложениях и расширениях браузера, а также следы скрытого взаимодействия между его компонентами и прокси-серверами в материковом Китае и других регионах.

Отдельного внимания заслуживает взаимосвязь Vault Viper с более широкой сетью организованной преступности. Baoying Group, как выяснилось, имела тесные связи с триадой Suncity Group и её основателем Элвином Чау, осуждённым за участие в нелегальных азартных играх и отмывании средств на миллиарды долларов. Через подставные компании и подставных владельцев BBIN удалось закрепиться в зонах с ослабленным регулированием — от особых экономических зон Филиппин до офшоров в Латинской Америке и Европе. Всё это способствовало созданию устойчивой, распределённой и почти неуязвимой инфраструктуры для киберпреступлений и транснационального отмывания доходов.

В рамках анализа также были изучены компоненты Universe Browser для Windows, где основное внимание уделено служебным модулям, обеспечивающим устойчивость и взаимодействие с управляющими серверами. Помимо слежки за пользовательской активностью и внедрения в системные процессы, обнаружены механизмы загрузки конфигураций через DNS-записи и скрытая маршрутизация трафика с использованием зашифрованных ключей. Некоторые элементы, вроде встроенных расширений Screenshot и lineSelector, дополнительно позволяют браузеру выявлять пользователей, посещающих ресурсы Vault Viper, и адаптировать поведение под них.

Особую обеспокоенность вызывает поведение Universe Browser, маскирующегося под безопасный инструмент, но, по сути, выполняющего функции вредоносного ПО. Среди прочего — отключение средств защиты, отключённые инструменты разработчика, скрытые подключения к внешним узлам и загрузка бинарных файлов без ведома пользователя. Несмотря на позиционирование как инструмента для обхода цензуры, технический анализ показал примитивность прокси-механизма, что указывает на отсутствие настоящей цели обеспечения приватности.

Таким образом, Vault Viper представляет собой не просто очередную вредоносную кампанию, а полнофункциональную преступную платформу, замаскированную под технологическое решение для онлайн-гемблинга. С учётом масштабов, технической сложности и тесных связей с транснациональной организованной преступностью, эта инфраструктура представляет серьёзную угрозу безопасности пользователей, финансовым системам и международной правоприменительной практике.