Selon Malanta (équipe de recherche), dans une publication datée du 3 décembre 2025, une opération de type APT indonésienne, active depuis au moins 2011, alimente un écosystème cybercriminel géant mêlant jeux d’argent illégaux, détournement d’infrastructures Web, distribution d’APK Android malveillants et techniques furtives de proxy TLS sur des sous-domaines gouvernementaux.

L’étude met en évidence une infrastructure massive et persistante: 328 039 domaines au total, dont 236 433 dédiés aux sites de jeux, 90 125 domaines compromis et 1 481 sous‑domaines détournés. L’acteur exploite le SEO, des domaines lookalikes (480 identifiés), et une automatisation avec génération de contenus (IA) pour la pérennité et l’échelle. Plus de 51 000 identifiants volés liés à cet écosystème ont été retrouvés sur des forums du dark web.

Les sites de jeux, majoritairement derrière Cloudflare et souvent géo‑restreints à l’Indonésie, réutilisent les mêmes gabarits et exigent un numéro +62 et des moyens de paiement locaux. En parallèle, des milliers d’APK de jeux d’argent sont distribués via au moins 20 buckets S3 (5 publics), servant de droppers: téléchargement/installation d’APK additionnels, accès R/W au stockage externe (exfiltration et staging), usage de FCM pour commande à distance, et présence d’identifiants/API keys en dur. Un domaine commun (jp-api.namesvr[.]dev) apparaît dans le trafic réseau comme probable C2.

Côté détournements, l’acteur exploite systématiquement WordPress, composants PHP, DNS pendants et ressources cloud expirées pour injecter des pages et redirections. Surtout, des sous-domaines gouvernementaux occidentaux sont utilisés comme reverse proxies NGINX qui terminent TLS sur des FQDN légitimes, relayant le trafic C2 et permettant le vol de cookies de session partagés avec le domaine principal, rendant le trafic malveillant indiscernable et ouvrant la voie à des compromissions par cookie.

Enfin, 38 comptes GitHub jetables servent à héberger des gabarits malveillants, webshells et artefacts (ex. un webshell PHP obfusqué de 1,2 Mo). L’article constitue une publication de recherche visant à documenter une infrastructure APT à large échelle, ses techniques et ses artefacts associés.

IOCs observés (extraits)

  • Domaines: zwpastiok[.]site (exemple de site de jeux), jp-api.namesvr[.]dev (probable C2)
  • Artefacts: GitHub nibets007/roots (fichier alf.php webshell)
  • Hébergements/plateformes utilisés: Cloudflare, AWS (S3, hébergements), Azure, GitHub

TTPs clés

  • Détournement de domaines/sous-domaines via WordPress/PHP vulnérables, DNS pendants et ressources cloud expirées
  • Reverse proxy NGINX avec terminaison TLS sur FQDN légitimes pour camoufler le C2 et voler des cookies de session
  • SEO poisoning et ensemencement de lookalikes/typosquatting (480 domaines)
  • Chaîne Android malveillante: droppers APK, FCM pour commande, exfiltration/staging via stockage externe, clés/API en dur
  • Hébergement d’outils et webshells sur comptes GitHub jetables; signes d’automatisation et de génération de contenus

🧠 TTPs et IOCs détectés

TTP

[‘Détournement de domaines/sous-domaines via WordPress/PHP vulnérables, DNS pendants et ressources cloud expirées’, ‘Reverse proxy NGINX avec terminaison TLS sur FQDN légitimes pour camoufler le C2 et voler des cookies de session’, ‘SEO poisoning et ensemencement de lookalikes/typosquatting’, ‘Chaîne Android malveillante: droppers APK, FCM pour commande, exfiltration/staging via stockage externe, clés/API en dur’, ‘Hébergement d’outils et webshells sur comptes GitHub jetables’, “Utilisation de l’automatisation et de la génération de contenus”]

IOC

[‘zwpastiok[.]site’, ‘jp-api.namesvr[.]dev’, ‘GitHub nibets007/roots (fichier alf.php webshell)’]

🔗 Source originale : https://www.malanta.ai/blog-posts/%20investigating-indonesias-gambling-ecosystem-indicators-of-national-level-cyber-operations