Велика шахрайська мережа, що працює через фальшиві азартні сайти, функціонує вже 14 років, і, за словами дослідників, вона може бути частиною більшої схеми, що підтримується державою. Ця організація націлюється на урядові та приватні установи в США та Європі.
Дослідники раніше виявляли менші елементи цієї складної інфраструктури. Наприклад, компанія безпеки Sucuri повідомила, що зловмисники використовують погано налаштовані сайти на WordPress для своїх атак. Інша компанія, Imperva, зазначила, що зловмисники сканують та експлуатують веб-додатки на PHP, які мають вразливості. Після цього вони встановлюють GSocket – бекдор, що дозволяє їм контролювати сервери та розміщувати на них азартний контент.
Всі ці азартні сайти націлені на відвідувачів, які говорять індонезійською, оскільки азартні ігри в Індонезії заборонені, і багато людей звертаються до нелегальних послуг. Більшість з 236,433 доменів, що належать зловмисникам, розміщені на Cloudflare. Також було захоплено 1,481 піддоменів, які були розміщені на Amazon Web Services, Azure та GitHub.
Дослідники з Malanta вважають, що це лише видимі ознаки набагато більшої і складної мережі. Вони вважають, що ця операція не лише фінансова, а також може бути спрямована на хакерів, які намагаються атакувати різні організації, включаючи виробництво, транспорт, охорону здоров’я, уряд та освіту.
Такі припущення базуються на величезній кількості часу та ресурсів, витрачених на створення та підтримку цієї інфраструктури протягом 14 років. Дослідження показують, що підтримка такої інфраструктури може коштувати від 725,000 до 17 мільйонів доларів на рік.