非法赌博与域名劫持：14年的数字阴影网络

超过十四年来，一个地下网络在网络的黑暗角落蓬勃发展，利用技术弱点和管理员疏忽将非法赌博转变为更复杂事物的外表。这不仅仅是另一个欺骗并从毫无防备的用户身上获利的诈骗引擎。根据最新研究，这是一个庞大、持久的数字生态系统，可能与情报驱动的行动有联系——一种将经济利益与战略网络能力和地缘政治影响相结合的结构。

呈现在我们面前的是一个在覆盖范围、设计和持久性上令人惊讶的系统。一个建立在已知漏洞、过期域名和被忽视的子域名之上的网络，能够在表面之下发展：表面上是一个赌博平台，但在深层，它的基础设施展现出高级持续性威胁(APT)的特征，这类威胁通常与国家支持的网络行为者相关。

被入侵的WordPress网站、PHP漏洞和明确的目标受众

这个网络并非突然发现。早在去年11月，Sucuri就记录了针对配置错误的WordPress网站的广泛攻击，攻击者嵌入GSocket后门以确保持续的服务器访问。1月，Imperva扩展了这些发现，指出同一活动也在利用易受攻击的PHP应用程序和已通过网页Shell入侵的系统。其操作周期持久而系统化：识别弱点，控制，植入隐蔽访问层并将被入侵的环境转变为非法赌博流量的枢纽。

主要目标是讲印尼语的用户。在这个禁止赌博的国家，需求在地下蓬勃发展——这是非法博彩平台的肥沃土壤。引人注目的是规模：236,433个由运营商直接注册的域名，至少1,481个从合法组织劫持的子域名，许多托管在AWS、Azure和GitHub上，而Cloudflare则充当保护盾牌，掩盖来源和基础设施血统。

Malanta重写叙事：超越欺诈，潜在的国家关联基础设施

最显著的转变来自Malanta的最新分析。根据他们的研究，该操作不再可以被解释为简单的网络欺诈网络。它的寿命——超过十年——以及维持它所需的资金，估计每年在725,000美元到1700万美元之间，超过了一个仅以利润为目的的犯罪集团通常能够负担的范围。

在这里，拼图变得更加清晰：大规模利用WordPress和PHP漏洞，通过AWS基础设施分发的数千个恶意Android应用程序，专门用于恶意软件传播的38个GitHub账户，积极操纵SEO以提高索引排名，甚至入侵政府拥有的域名来掩饰命令和控制服务器。这幅马赛克与APT活动的结构一致：持久、多层次、有条不紊。

Malanta没有指明特定国家，但指出受影响的部门——欧洲和美国的工业、医疗、交通、教育、公共机构——与典型的间谍级目标高度匹配。

被遗忘的域名，开放的大门：数字世界的隐藏弱点

这个生态系统的核心是一个常被低估的漏洞：悬空DNS和悬空CNAME的利用。实际上，当域名或子域名被遗弃、过期或无人管理时，攻击者可以通过注册新可用的配置来获取控制权。一旦接管，攻击者就继承了与原始域名相关的信任——将其从被忽视的资产转变为武器化的基础设施。

从此刻起，可能性是广泛的。域名可能托管克隆页面模仿可信平台，收集用户凭证和敏感数据。它可能继承有效的会话Cookie，使横向访问受保护的网络成为可能。在一个记录的事件中，发现一个与价值160亿美元的美国跨国公司相关的被遗忘子域名继承了活跃用户会话，绕过了内部控制和安全边界。

这种威胁随着使用NGINX反向代理而升级，这些代理被设计用于在合法域名上终止TLS连接并悄悄地将流量重新路由到攻击者控制的C2服务器。表面上，这种流量看起来像是源自可信机构的标准HTTPS通信——然而在加密背后隐藏着隐秘控制。

同一机器的两面：收入和行动掩护

这个操作在两个相互关联的层面上运作。表面上，非法赌博产生持续的财务营业额，这一点由超过51,000个被识别并随后在犯罪市场上出售的被盗凭证所证明。但真正的价值可能是战略性的：隐蔽通信渠道，横向网络移动的基础设施，对政府和企业系统的持久访问。

现行理论是这是一种混合合作——财务驱动的网络犯罪分子与国家对齐的行为者合作，后者受益于网络的隐蔽性和覆盖范围。在这种情况下，赌博作为转移注意力的手段：有利可图、引人注目、容易被视为典型欺诈——因此很少被超越表面犯罪性质进行深入研究。

这种双重身份可能是网络持久性的关键。利润维持它，隐蔽保护它。两个平行引擎，彼此都至关重要。

这个案例迫使人们面对更广泛的现实。这种规模的混合操作揭示了网络犯罪与网络间谍之间的界限不再清晰界定。如果这个基础设施在无人察觉的情况下存活了十四年，那么有理由假设其他类似结构可能已经存在，在可见网络的表面下安静地适应。

问题不再是这是欺诈还是情报工作。问题是在可见网络的帷幕背后还隐藏了多少。

本文最初于2025年12月9日以意大利语发表。