Vault Viper: Asiatische iGaming‑Netzwerke zwischen Cyberbetrug und organisierter Kriminalität

Infoblox Threat Intel (ITI) und das UNODC bringen die BBIN, einen führenden iGaming-Anbieter Asiens, mit Cyberbetrug, illegalem Online-Glücksspiel und organisierter Kriminalität in Verbindung. Laut den Forschern entwickelt sich die Cyber-Bedrohungslage in Südostasien rasant und verursacht beispiellose finanzielle Verluste und wachsende Sicherheitsrisiken weltweit.

Die Region sieht eine Ausbreitung groß angelegter Betrugszentren und cybergestützter Betrugsoperationen, die konservativ auf jährlich mehrere zehn Milliarden Dollar geschätzt werden. Getrieben wird diese Entwicklung von hochentwickelten kriminellen Netzwerken — inklusive Menschenhändlern, Untergrundbankern und Datenhändlern — wobei Online-Glücksspiel oft als Fassade für Cyberkriminalität und Geldwäsche dient.

Im Februar 2025 startete ITI gemeinsam mit dem UNODC-Regionalbüro eine Untersuchung zu illegalen Glücksspiel- und Betrugsplattformen mit Wurzeln in Kambodscha. Dabei entdeckten die Ermittler Verbindungen zu einem der großen iGaming‑„White‑Label“-Anbieter Asiens, der auch einen angeblich „datenschutzfreundlichen“ Browser namens Universe Browser (寰宇浏览器) vertreibt. Der Browser umgeht Zensur, leitet Verbindungen über Server in China und installiert mehrere Hintergrundprogramme — Funktionen, die Hinweise auf Keylogging, heimliche Verbindungen und Änderungen an Netzwerkeinstellungen liefern; Merkmale, die denen von Remote‑Access‑Trojanern ähneln.

Obwohl ein direkter Missbrauch des Browsers nicht abschließend belegt wurde, schätzen die Autoren die Installationsbasis aufgrund des Traffics auf mehrere Millionen. Sie warnen, dass ein solcher Browser in den Händen krimineller Akteure, etwa einer Triade, genutzt werden könnte, um wohlhabende Spieler zu identifizieren und Zugriff auf ihre Geräte zu erlangen.

Mittels DNS‑Analysen, Reverse Engineering und weiterer Techniken entlarvte die Untersuchung das Netzwerk hinter der Operation — die Baoying Group — und verknüpfte es mit der Suncity Group und deren verurteiltem Anführer Alvin Chau. ITI verfolgt diesen Akteur unter dem Namen „Vault Viper“. Die Arbeit baut auf früheren Entdeckungen (etwa „Vigorish Viper“) auf und ist Teil einer Reihe bislang nicht gemeldeter Bedrohungsakteure an der Schnittstelle von Online‑Glücksspiel, Cyberbetrug, Geldwäsche und Menschenhandel.

Der Bericht dokumentiert Zehntausende zugehöriger Domains, umfangreiche DNS‑Spuren, C2‑Infrastruktur, spezielle Tools und eine verschleierte Eigentümerstruktur über in Dutzenden Ländern registrierte Firmen. Ziel ist es, das kriminelle Ökosystem um Vault Viper sichtbar zu machen, weiteres Bewusstsein zu schaffen und die Zusammenarbeit zwischen Sicherheitsforschern, Regierungen und der Industrie zu stärken.

In den letzten Jahren haben diese Netzwerke ihre Geschäftsbereiche aggressiv diversifiziert, indem sie sich vom Online-Glücksspiel auf Cyberkriminalität und Online-Betrug verlagert haben und dabei Lücken in den Vorschriften für komplexe Lieferketten, Transaktionen und Einnahmequellen im Zusammenhang mit Online-Glücksspielen ausnutzen. Diese Transformation erforderte eine kontinuierliche Weiterentwicklung ihrer Handwerkskunst, was schließlich zu einem robusten kriminellen Ökosystem führte, das sich durch technische, finanzielle und rechtliche Verschleierungstaktiken sowie die Abhängigkeit von undurchsichtigen Drittanbietern und Infrastrukturen auszeichnet, die dazu dienen, Ermittler zu behindern, Regulierungssysteme zu überfordern und die weitere Expansion voranzutreiben.

Die Reise „ins Kaninchenloch“: Von Bolai nach Baoying

Aufbauend auf früheren Untersuchungen zu Vigorish Viper, die hohe technische Raffinesse und kriminelle Dienstleistungen zeigten, identifizierte Infoblox Threat Intel Anfang 2025 eine Gruppe von Online-Glücksspiel-Websites. Den Behörden waren diese Seiten bereits als von Kriminellen betrieben bekannt, die in groß angelegten Online-Betrug, Geldwäsche, Menschenhandel und Mord verwickelt sind. DNS-Analysen bestätigten, dass alle Unternehmen in diesem Cluster auf denselben iGaming-Softwareanbieter verwiesen.

Ein zentraler Akteur ist Bolai Casino, auch bekannt als Brilliancy Sihanoukville Development and Investment (铂莱娱乐城). Bolai ist eine schnell wachsende kriminelle Organisation mit Sitz in Sihanoukville, einem wichtigen Zentrum für Cyberkriminalität in Südostasien. Neben landbasierten Casinos und Vorwürfen des Menschenhandels betreibt Bolai eine Online-Glücksspiel-Website und einen Telegram-Kanal, der Hunderte von Gruppen vernetzt, die Geldwäsche und informelle grenzüberschreitende Geldtransfers abwickeln. 2022 war die Organisation in eine gemeinsame thailändisch-kambodschanische Strafverfolgungsaktion verwickelt, die zur Schließung eines umfangreichen Schweineschlachtbetriebs im Bolai Hotel and Casino Resort führte.

Die Ermittler stellten Fragen: Wer steckt hinter Bolais Online-Aktivitäten? Wurden die iGaming-Fähigkeiten intern entwickelt? Waren die Verbindungen zur organisierten Kriminalität zufällig? DNS-Analysen zeigten schnell, dass Bolai nur ein Knotenpunkt in einem weitläufigen kriminellen Netzwerk war.

White-Label-Anbieter spielen hier eine Schlüsselrolle. Sie liefern schlüsselfertige iGaming-Lösungen, mit denen Kunden voll funktionsfähige Glücksspiel-Websites mit minimalem technischem Aufwand starten können. Dazu gehören Casinospiele, Sportwetten, Backend-Management, Affiliate-Systeme, Betrugsüberwachung, Kundensupport und optionale KYC- und AML-Module. Die Software ist hochgradig anpassbar, ermöglicht Lokalisierung, Zahlungsintegration, Werbeaktionen und Tools zur Zensurumgehung sowie zum Datenschutz. Kriminelle Zahlungsanbieter wie Huione, EBPay oder CGPay werden ebenfalls eingesetzt.

DNS ist entscheidend für illegale Online-Glücksspielanbieter, um hohe Verfügbarkeit zu sichern und Strafverfolgungsmaßnahmen zu umgehen. Sie nutzen Tausende zufällig generierter Domainnamen, Offshore-Registrare, Datenschutzdienste, CDNs und DDoS-Schutz, oft kombiniert mit Domain-Fronting, um Server-Endpunkte zu verschleiern. Trotz dieser komplexen Infrastruktur entdeckten die Ermittler einen eindeutigen DNS-Fingerabdruck von Vault Viper, der es ermöglicht, Aktivitäten nachzuverfolgen und zuzuordnen.

Die Baoying Group und das BBIN White Label

Vault Viper, früher als Baoying Group (寶盈集團) und BBIN bekannt, wurde vor über zwei Jahrzehnten in Taiwan gegründet. Die Gruppe betreibt ein globales Netzwerk aus Technologie-, Immobilien- und Investmentunternehmen sowie undurchsichtigen Offshore-Holdinggesellschaften. Mit mehreren Hotels, Casinos und groß angelegten Technologie- und Datenbetrieben in Südostasien hat sich BBIN zu einer der größten Turnkey-iGaming-Lösungen Asiens entwickelt. Die Marke ist auf bōcài-Websites allgegenwärtig, neben Anbietern wie Evolution, PGSoft, Asia Gaming oder Sexy Gaming. Auch Fun Null, Betreiber von ACB.NET, nutzte das BBIN-Logo, obwohl eine formelle Geschäftsbeziehung unklar ist. Fun Null sorgte für Schlagzeilen, als ein Domainname genutzt wurde, um weltweit bösartigen Code einzuschleusen.

Die Vault Viper-Plattform bietet eine vollständig anpassbare White-Label-Lösung, die Plattformentwicklung, Spielintegration, Backend-Management, Sicherheit und Zahlungsabwicklung umfasst. Sie enthält Funktionen, die gezielt Nutzer und Kunden auf unregulierten Schwarzmärkten bedienen – unterstützt durch offizielle Sponsorenverträge mit internationalen Fußballvereinen.

Seit 2006 unterhält die Baoying Group eine operative Basis auf den Philippinen, insbesondere in der Clark Freeport and Special Economic Zone, über zahlreiche Unternehmen und Frontfirmen. Die Eigentümerstruktur bleibt durch ein Netz von Unternehmen in Asien, Europa, Lateinamerika und im Pazifik weitgehend verschleiert. DNS-Analysen identifizierten über 1.000 Nameserver, die Tausende von Websites hosten, darunter viele, die für illegalen Online-Glücksspielbetrieb und kriminelle Aktivitäten wie Cyberbetrug und Geldwäsche genutzt werden.

Frühere Berichte regionaler Strafverfolgungsbehörden verbinden BBIN wiederholt mit der Unterstützung krimineller Gruppen in Ost- und Südostasien, darunter große Triaden wie Bamboo Union, Four Seas Gang, Tian Dao League oder Sun Alliance. Zwischen 2017 und 2023 wurden über BBIN illegale Online-Wetten und grenzüberschreitende Geldtransfers von mehr als 770 Millionen US-Dollar abgewickelt – vermutlich nur ein Bruchteil der seit der Gründung gewaschenen Milliarden.

Hinzu kommt der Universe Browser, ein benutzerdefinierter Browser, dessen Verhalten Malware ähnelt. Trotz der Skepsis der Strafverfolgungsbehörden genießt Baoying bei Online-Glücksspielern hohes Ansehen und nutzt dies, um die Software weiter zu verbreiten.

Entdeckung im DNS — Technische Analyse des „Privacy“-Browsers „Universe“

BBIN stellt für Android und Windows einen „Zwei‑Klick“-Download des Chrome‑basierten Universe‑Browsers bereit; eine iOS‑Variante ist im Apple App Store verfügbar. Die seit mindestens 2014 für die Baoying Group angepasste Anwendung soll Zensur und lokale Beschränkungen umgehen — zugleich zeigt sie Verhaltensmuster, die typisch für Malware sind: Herunterladen und Ausführen von Binärdateien, Code‑Injection in IEXPLORE.EXE, Installation von System‑Hooks zur Überwachung der Zwischenablage und Funktionen von Informationsdieben. Samples wurden in ganz Südostasien gesichtet.

Nach der Installation prüft der Browser Standort, Sprache und ob er in einer VM oder Sandbox läuft. Bestehen die Prüfungen, verbindet er sich nach einer Verzögerung mit Steuerungs‑IP‑Adressen in Festlandchina, Hongkong und Taiwan. Dem Nutzer wird eine modifizierte Chromium‑Oberfläche präsentiert, die einen VPN‑ähnlichen Tunnel vorgaukelt; im Hintergrund installiert der Installer jedoch mehrere persistente Programme, die unbemerkt laufen. Die folgende Analyse konzentriert sich auf die Windows‑Variante.

Die Windows‑Probe „UB‑Launcher.exe“ wird selten von Antiviren‑Engines erkannt. Der Installer legt ein Chrome‑Installationspaket und ein 7ZIP‑Archiv („Application.7z“) in %APPDATA%/local/UB ab. Letzteres enthält QT5‑DLLs, fünf Binärdateien und zwei Browser‑Erweiterungen. Der Dropper ersetzt chrome.exe durch UB‑Launcher.exe, wandelt eine reguläre Chrome‑Installation in den Universe Browser um und richtet Persistenz über die Startregistrierung ein; UBMaintenanceService startet UBService (UB Networking Service).

Der angepasste Browser emuliert die Chrome‑Startseite, schränkt aber DevTools, chrome://‑Seiten und Einstellungen ein. Der User‑Agent wurde modifiziert (Suffix UB/{Version}), um Verbindungen zunächst lokal, dann über Remote‑Proxys zu leiten. Zwei vorinstallierte Erweiterungen — „Screenshot“ und „lineSelector“ (com.ub66.firewalltool) — sind spezifisch für Vault Viper und nicht im offiziellen Chrome Store verfügbar. „Screenshot“ lädt Aufnahmen auf ub66[.]com; „lineSelector“ prüft Standort und verweist auf Krypto‑Zahlungs‑URL‑Strukturen, ruft eine Subdomain von ub66[.]com ab und bindet eine QT5‑Binärdatei (UBIEAdapter.exe) ein, die bevorzugte Domains/IPs (vermutlich Proxys) zuweist. Erkanntes Verhalten signalisiert, wenn der Nutzer eine von Vault Viper betriebene Glücksspiel‑Domain besucht — die Erweiterung zeigt dann mögliche „Routen“ an.

UBService ist die zentrale Universe‑Binärdatei. Als QT5‑Anwendung enthält sie verschlüsselte Ressourcen, eine große SQLITE3‑Tabelle und mehrere Anti‑Debugging‑Mechanismen. Beim Start generiert sie Seeds, entpackt Ressourcen, kontaktiert pb88[.]ac101[.]net auf Update‑Suche und erzeugt eine hardwarebasierte UID, die an Google Analytics gesendet wird. Ein in „/files/key/keys“ abgelegter Schlüssel entschlüsselt die lokale Datenbank, die Zeitstempel und SOCKS5‑Proxy‑Routen enthält, welche vom Browser‑Ökosystem genutzt werden. Anschließend sendet das Programm Einträge an Remote‑Endpunkte und vergleicht Antworten, um Version, Verbindungsgeschwindigkeit und externe IP zu prüfen.

UBService ändert den DNS‑Resolver auf Alibaba und versucht, Inhalte von mehreren DDGA‑Domains zu laden, die 418‑Fehler liefern. In diesen Seiten stecken verschlüsselte Schlüssel mit dem Präfix #9@B@9#, die ein „BRouteManager“ zur Entschlüsselung aktualisierter Routen nutzt. Der Dienst fragt zudem fest kodierte Domains nach DNS‑TXT‑Einträgen ab, aus denen Schlüssel abgeleitet werden, um SSH‑Verbindungen zu statischen IPs in China herzustellen — offiziell als SOCKS5‑Proxys beworben, von den Analysten aber auch als mögliche C2‑Server eingestuft. Bei der Untersuchung wurden vier IP‑Adressen identifiziert, die denselben privaten Schlüssel verwendeten und Verbindungen zu mobilen Anwendungen zeigten, die von BBIN signiert waren.

Zugehörige Mobile Apps & Netzwerkinfrastruktur

Vault Viper vertreibt den Universe Browser auch mobil und hat Dutzende weiterer BBIN-signierter Apps für einzelne Glücksspielplattformen veröffentlicht. Viele Dienste sind derzeit offline, deshalb konnten sie nicht umfassend getestet; die Apps selbst zeigen keine offensichtliche Malware, fordern aber sehr weitreichende Berechtigungen und verweigern den Start auf gerooteten oder debuggedet Geräten. Auffällig ist UBAuth, eine Multi-Faktor-App, die offenbar zwingend für Auszahlungen auf BBIN-Plattformen ist; sie erreicht Persistenz über eine geplante Aufgabe und läuft nicht auf gerooteten/debuggedeten Geräten.

Netzwerkseitig nutzt Vault Viper Dutzende Domains über eigenes ASN (WOODSNET-PH, AS55547), AWS und Alibaba; Spielertunnel liegen teils auf westlichen Clouds wie Google, wichtigste C2- und Hosting-Domänen aber im gleichen ASN. Zahlreiche Code-Artefakte verweisen direkt auf „bbin“-Bezeichner, und SSL-Zertifikate sowie Markenplatzierungen auf den Sites verbinden die Infrastruktur sichtbar mit BBIN/Taiwan. Eine charakteristische Namenskonvention (u. a. Domains mit „cne“) erlaubt die zeitliche Verknüpfung verwandter Domains — ein Muster, das die Ermittler zur Rekonstruktion der Domain-Historie nutzten.

Ac101[.]net – Das Rückgrat der Vault-Viper-Infrastruktur

Vault Viper betreibt neben seinem eigenen ASN seit Jahren eine zentrale C2-Infrastruktur über ac101[.]net, eine seit 2006 aktive Domain, die über verschiedene Phasen zur Verbreitung bösartiger Payloads genutzt wurde. Frühere Tools waren einfache C++-Programme, später folgten DNS-Manipulatoren und Proxy-Dienste. Der Universe Browser löste dabei den älteren BB Browser ab.

Frühe Installationsprogramme wurden häufig von Antivirenlösungen erkannt, da sie zusätzliche Binärdateien direkt von ac101[.]net nachluden. 2013 infizierte der RAMNIT-Wurm die Entwicklungsrechner der Gruppe – ein seltener Fall, bei dem Angreiferwerkzeuge mit fremder Malware kontaminiert wurden. Spätere Versionen des Browsers verbesserten die Tarnung und setzten zunehmend auf DNS-Manipulation, um den Datenverkehr über von Vault Viper kontrollierte Server zu leiten.

Ein zugehöriges GitHub-Projekt namens testmyuser0009 enthielt unvollendete Webanwendungen, darunter das Malware-Framework BankReptile, das für das Abfangen von Bankdaten über Proxy-Browser entwickelt wurde – ein Hinweis auf frühere Experimente mit Finanzbetrug.

Netzwerkanalyse und Unternehmensverflechtungen

Über historische DNS- und WHOIS-Daten ließ sich die Infrastruktur auf mehrere Firmen rund um die taiwanische Baoying Group (BBIN) zurückführen. Deren philippinische Tochterfirmen – etwa Woodsdale Ventures und Eaglesky Technology – agieren unter dem ASN WOODSNET-PH (AS55547) und sind in der Glücksspielzone Clark Freeport aktiv.

Die Unternehmensstruktur ist komplex und von Offshore-Gesellschaften in Belize, Malta, den Britischen Jungferninseln und Macau durchzogen. Eine Schlüsselrolle spielt der taiwanische Unternehmer Yang Jen-Chieh (楊仁傑), dem frühere Baoying-Anteile gehörten; Belege für eine direkte Beteiligung an Cyberkriminalität liegen jedoch nicht vor.

Verbindung zur Suncity Group

Weitere Untersuchungen zeigen enge Beziehungen zwischen Baoying/BBIN und der Suncity Group des verurteilten Macau-Magnaten Alvin Chau, der 2023 wegen illegaler Wettgeschäfte in Milliardenhöhe zu 18 Jahren Haft verurteilt wurde.

Chau hielt laut chinesischen Behörden Mehrheitsanteile an Bao Ying (寶盈) und nutzte deren Infrastruktur, um illegale Online-Wetten und Geldwäsche über Plattformen wie TGP Europe, 138[.]com und Sunbet[.]com abzuwickeln. Zwischen 2013 und 2021 liefen über das Netzwerk mehr als 105 Milliarden US-Dollar an illegalen Einsätzen.

Das weitverzweigte System umfasste Tausende Agenten in China und Südostasien und nutzte BBIN-Technologie für Offshore-Casinos und Untergrundbanken – ein globales Geflecht aus Glücksspiel, Cyberbetrug und Geldwäsche, das bis heute Spuren in der digitalen Infrastruktur von Vault Viper hinterlässt.

Verbindungen zu Vigorish Viper und einem größeren kriminellen Netzwerk

Zur Erinnerung: Vigorish Viper, ein von Infoblox 2024 aufgedecktes chinesisches Syndikat, betreibt eine umfassende Cybercrime-Infrastruktur, die Software, DNS, Hosting, mobile Apps und Zahlungssysteme zur Unterstützung illegaler Online-Glücksspiele in China integriert. Die Gruppe nutzt Sponsoring europäischer Fußballvereine als Tarnung für Werbung und Geldflüsse.

Wie Vault Viper ist auch Vigorish Viper tief in Geldwäsche- und Menschenhandelsnetzwerke eingebunden. Im Zentrum stehen laut Ermittlungen Dong Lecheng (alias Heng Tong) und erneut Alvin Chau mit der Suncity Group und TGP Europe. Lecheng, von China, Großbritannien und den USA sanktioniert, baute über seine Yunnan Jincheng Group den berüchtigten „Chinatown“-Komplex in Sihanoukville (Kambodscha) auf, ein Zentrum für Online-Betrug und Glücksspielplattformen wie Yabo.

Ab 2018 arbeitete Chau mit Lecheng und dem Netzwerk um den kambodschanischen Senator Kok An zusammen, um Suncity-Technologie in das Golden Sky Sun Hotel and Casino zu integrieren. Beteiligte Firmen wie RSX Investment und das sanktionierte K.B. Hotel and Casino (Kaibo Park) dienten der Lizenzierung und Geldabwicklung für Online-Wetten.

Bestimmte IP-Bereiche, die Vault Viper zugeordnet sind, wurden zudem mit gezielten DDoS-Angriffen gegen philippinische Journalisten und NGOs in Verbindung gebracht, die über POGOs und organisierte Kriminalität berichteten.

Diese engen Verflechtungen zeigen: Vault Viper ist nicht nur technischer Dienstleister, sondern ein zentraler Bestandteil eines transnationalen Netzwerks, das illegale Glücksspiel-, Finanz- und Cyberaktivitäten in Milliardenhöhe ermöglicht.

Sicherheitsbewertung — Fazit

Die Analyse zeigt: Der von Vault Viper entwickelte Universe Browser ist kein harmloses Umgehungstool, sondern ein multifunktionales Framework für Exploits und kriminelle Dienste. Neben der Unterstützung illegaler Wettanbieter ermöglicht die Plattform das Abfangen von Netzwerkverkehr, die dauerhafte Überwachung von Nutzern und eine Hintertür zur Auslieferung weiterer Payloads. Damit fungiert der Browser als modularer C2-Vektor zur Identifizierung lohnender Ziele und zur Folgeinfektion.

Langjährig betriebene C2-Domains und konstant weiterentwickelte Binärdateien deuten darauf hin, dass die Anwendung gezielt auf Erkennungsvermeidung ausgelegt ist. Techniken wie Code-Injection in iexplore.exe, Event-Hooking, VM-/Debug-Erkennung, Obfuskation sowie verschlüsselte Ressourcen gehen deutlich über das hinaus, was für einen legitimen „Privat­sphäre“-Browser nötig wäre. Persistenz- und Kommunikationsmechanismen, Packtypologie und die bewusste Erschwernis der Analyse stützen diese Einschätzung.

Funktionen wurden aktiv entfernt oder blockiert — etwa DevTools, chrome://-Seiten, Rechtsklick-Einstellungen — und Sicherheitsfeatures wie Sandboxing und strenge SSL-Prüfungen sind deaktiviert. Der Browser leitet sämtlichen Datenverkehr über von Vault Viper kontrollierte Infrastruktur, was das Risiko von Konto- und Geräteübernahmen sowie Datenexfiltration dramatisch erhöht.

Kontrollierte Tests ergaben keine prozeduralen Änderungen an Zahlungsabläufen, was darauf hindeutet, dass Social-Engineering-Tricks Teil der Monetarisierungsstrategie sind. Technisch ist die Proxy-Architektur zudem rudimentär: eine einfache SOCKS5-Implementierung über Qt mit fest codiertem kryptografischem Material — wenig robust gegenüber Deep-Packet-Inspection.

In der Praxis nutzt Vault Viper das Bedürfnis nach „Zugang und Geheimhaltung“ aus, um Spieler auszubeuten: Neben Wettgewinnen können persönliche und Finanzdaten entzogen und in breitere kriminelle Ökosysteme eingespeist werden, wobei Opfer wegen ihrer eigenen Beteiligung an illegalen Angeboten kaum Rechtsmittel haben.

Kurz: Universe Browser ist eine hochriskante Plattform zum Sammeln und Ausnutzen von Daten, fest eingebettet in die Infrastruktur eines transnationalen kriminellen Netzwerks. Technische Mängel, irreführendes Marketing und zentralisierte Infrastruktursteuerung legen nahe, dass die Software bewusst zur Ausbeutung, nicht zum Schutz der Nutzer, entwickelt wurde.

Indikatoren

Diese Indikatoren finden Sie auch im  offenen GitHub-Repository.

Indicator	Type	Description
0592aad472bbadeb6edc55573d7bcd2cff560504de5c94d8e1600188f143e523	sha256	Windows installer
ac101[.]net	Domain	Additional downloads
yts79y3-zew6s.p0bgceeug-l[.]com ex5n-pt6g-b6g7.iy7mljjr68h[.]com	Domain	API/DNS records domains
zw6q9v-k6vczr[.]com qzvj52cv-typf[.]com mzim-e83ja-5wm[.]com fvwy-i65-82meq[.]com c2a-ut9fj-2v7m[.]com b9gw-g5p-9x7mq[.]com	Domain	DNS/proxy servers
d1ko2n56twscbk.cloudfront[.]net ub.zhanglijuanlawyer[.]com chu-shi-biao.s3-website.ap-northeast-2.amazonaws[.]com d38z5zttlbg669.cloudfront[.]net	Domain	Proxy domains
cdn.mr3yh8er[.]com cdn.n4dhx7bt[.]com	Domain	Download CDN
phone589[.]com ag04vip[.]com boss04vip[.]com	Domain	Ac101 clones
ub66[.]net ub66[.]io ub66[.]me huanyuliulanqi[.]com eamix[.]cn 650llq[.]cm ub66[.]com	Domain	Advertisement page, first-level C2s
g1uvvowzz2.bzta2gq4[.]com hmbmmmuztj.wajn69nk[.]com ywguo31mtu.z3wr37yr[.]com	Domain	DNS TXT key distribution domains
120[.]79[.]173[.]34 120[.]79[.]197[.]209 47[.]107[.]42[.]176 47[.]106[.]118[.]53 47[.]243[.]69[.]88 47[.]243[.]172[.]76 146[.]88[.]164[.]244 146[.]88[.]165[.]78	IP	Alibaba SSH IPs
h9pvs-2eanqhz.csqq2g-fzc5i5[.]com/mysteries-pages/418.html zc9-32a4-hsa34.fd7wt9-3f-7nin[.]com/mysteries-page/418.html	URL	418 pages with hidden keys
xn--29s7ix44lsga.ub66[.]com xn--29s7i934gspn.ub66[.]com xn--29s7inly9ib.ub66[.]com	Domain

 

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon