En noviembre de 2021, Tord Lundström, director técnico de la organización sin fines de lucro de análisis forense digital sueco Qurium Media, notó algo extraño. Un ataque masivo de denegación de servicio distribuido (DDoS) estaba dirigido a Bulatlat, un medio de comunicación alternativo de Filipinas alojado por la organización sin fines de lucro. Y venía de los usuarios de Facebook.
Lundström y su equipo descubrieron que el ataque fue solo el comienzo. Bulatlat se había convertido en el objetivo de una sofisticada granja de trolls vietnamitas que había capturado las credenciales de miles de cuentas de Facebook y las había convertido en bots maliciosos para apuntar a las credenciales de aún más cuentas para aumentar su número.
El volumen de este ataque fue asombroso incluso para Bulatlat, que durante mucho tiempo ha sido objeto de censura e importantes ataques cibernéticos. El equipo de Qurium bloqueaba hasta 60 000 direcciones IP al día para que no accedieran al sitio web de Bulatlat. “No sabíamos de dónde venía, por qué la gente iba a estas partes específicas del sitio web de Bulatlat”, dice Lundström.
Cuando rastrearon el ataque, las cosas se pusieron aún más raras. Lundström y su equipo descubrieron que las solicitudes de páginas en el sitio web de Bulatlat en realidad provenían de enlaces de Facebook disfrazados para parecer enlaces a pornografía. Estos enlaces fraudulentos capturaron las credenciales de los usuarios de Facebook y redirigieron el tráfico a Bulatlat, esencialmente ejecutando un ataque de phishing y un ataque DDoS al mismo tiempo. A partir de ahí, las cuentas comprometidas se automatizaron para enviar spam a sus redes con más de los mismos enlaces pornográficos falsos, lo que a su vez envió a más y más usuarios a correr hacia el sitio web de Bulatlat.
Aunque la empresa matriz de Facebook, Meta, tiene sistemas para detectar estafas de phishing y enlaces problemáticos, Qurium descubrió que los atacantes estaban usando un «dominio de rebote». Esto significaba que si el sistema de detección de Meta probara el dominio, se vincularía a un sitio web legítimo, pero si un usuario normal hacía clic en el enlace, sería redirigido al sitio de phishing.
Después de meses de investigación, Qurium pudo identificar a una empresa vietnamita llamada Mac Quan Inc. que había registrado algunos de los nombres de dominio de los sitios de phishing. Qurium estima que el grupo vietnamita capturó las credenciales de más de 500.000 usuarios de Facebook de más de 30 países utilizando unos 100 nombres de dominio diferentes. Se cree que más de 1 millón de cuentas han sido atacadas por la red de bots.
Para eludir aún más los sistemas de detección de Meta, los atacantes utilizaron «proxies residenciales», enrutando el tráfico a través de un intermediario con sede en el mismo país que la cuenta de Facebook robada, normalmente un teléfono celular local, para que pareciera que el inicio de sesión provenía de un local. Dirección IP. “Cualquiera de cualquier parte del mundo puede acceder a estas cuentas y usarlas para lo que quiera”, dice Lundström.
Una página de Facebook de «Mac Quan IT» afirma que su propietario es ingeniero en la empresa de dominios Namecheap.com e incluye una publicación del 30 de mayo de 2021, donde anuncia la venta de Me gusta y seguidores: 10 000 yenes (70 dólares) por 350 Me gusta y 20.000 yenes por 1.000 seguidores. WIRED contactó al correo electrónico adjunto a la página de Facebook para hacer comentarios, pero no recibió una respuesta. Qurium rastreó además el nombre de dominio hasta un correo electrónico registrado a nombre de una persona llamada Mien Trung Vinh.