Selon Help Net Security, des chercheurs de Malanta décrivent une opération de longue durée qui combine jeux d’argent illicites, distribution de malwares et détournement d’infrastructures légitimes pour fournir une infrastructure de commande et contrôle (C2) et des services d’anonymat. L’opération, en activité depuis au moins 14 ans, cible notamment des internautes en Indonésie et exploite des sous-domaines d’entités gouvernementales et d’entreprises.

L’ampleur est majeure: 328 039 domaines au total, dont 236 433 domaines achetés, 90 125 sites piratés et 1 481 sous-domaines détournés. Les chercheurs relient également des milliers d’applications Android malveillantes, 38 comptes GitHub hébergeant des web-shells, modèles et artefacts de staging, ainsi que 500+ domaines typosquattés se faisant passer pour des organisations populaires.

L’activité a débuté en 2011 autour du jeu d’argent en ligne, puis a évolué pour intégrer manipulation SEO, distribution de malware mobile, piratage de sites, hijacking de domaines et sous-domaines et vol de données. La promotion passe par réseaux sociaux et messageries, poussant les victimes à installer des apps Android hébergées sur AWS S3: interface de jeu en façade 🎰, mais capacité à télécharger du code supplémentaire, accéder au stockage et communiquer avec des serveurs C2.

Les assaillants détournent des domaines de confiance via l’exploitation systématique de WordPress et composants PHP, dangling DNS, ressources cloud expirées, CNAME non revendiqués et certificats expirés. Sur certains sous-domaines, ils placent des fausses boutiques ou faux sites de jeu imitant eBay, Lazada ou Envato. Sur des cibles sensibles (gouvernements et grandes entreprises), ils déploient des reverse proxies NGINX qui terminent le TLS sur le FQDN officiel puis décryptent et relaient le trafic vers des serveurs contrôlés par l’attaquant, rendant le flux indiscernable d’un trafic chiffré légitime. Des configurations où les sous-domaines partagent la même session cookie peuvent offrir un accès direct à des sessions actives, contournant mots de passe et MFA.

Les chercheurs estiment que le mélange de cybercriminalité et de tradecraft avancé, la longévité, l’échelle et le coût opérationnel (de centaines de milliers à plusieurs millions USD par an) indique une maturité proche d’une APT. Les jeux d’argent pourraient servir de revenu et de couverture, tandis que les reverse proxies TLS sur des FQDN gouvernementaux servent de relais furtifs pour du C2 ou de l’exfiltration. Le groupe serait probablement indonésien ou aurait des opérateurs parlant indonésien; aucune preuve d’un parrainage étatique spécifique n’est mentionnée. Type: article de presse spécialisé présentant une synthèse de recherche et une analyse de menace.

IOCs et TTPs observés

  • Indicateurs (agrégés) 🧩:

    • 328 039 domaines liés à l’opération (236 433 achetés, 90 125 piratés, 1 481 sous-domaines détournés)
    • Des milliers d’applications Android malveillantes
    • 38 comptes GitHub hébergeant web-shells, templates et artefacts de staging
    • 500+ domaines lookalikes pour de futures campagnes de collecte d’identifiants

  • TTPs 🔧:

    • Promotion via réseaux sociaux et messageries; appât par sites de jeux d’argent
    • Apps Android hébergées sur AWS S3 – téléchargement de code additionnel, accès stockage, communication C2
    • Exploitation de WordPress et composants PHP, dangling DNS, ressources cloud expirées, CNAME non revendiqués, certificats expirés
    • Détournement de sous-domaines gouvernementaux et d’entreprises; proxies NGINX terminant le TLS sur FQDN légitimes et relais furtifs
    • Usurpation de marque via faux contenus (shopping, gambling) et domaines lookalikes
    • Partage de cookies de session entre sous-domaines – accès à des sessions actives, contournement de mots de passe et MFA

🔗 Source originale : https://www.helpnetsecurity.com/2025/12/03/indonesian-online-gambling-network/