Der angeblich „sichere“ Universe Browser ist Teil des Untergrundnetzwerks Vault Viper, einer globalen Cybermafia.
Vault Viper Leak: Der „Universe Browser“ tarnt sich als Privacy-Tool, spioniert jedoch Millionen Nutzer aus. Neue Infoblox-Erkenntnisse zeigen, hinter der „Sicherheits“-Fassade verbirgt sich ein ausgeklügeltes Überwachungs- und Betrugssystem für illegales Online-Gambling und Geldwäsche.
Er tarnt sich als „Privacy Browser“, verspricht Anonymität und liest stillschweigend mit. Der Universe Browser verbreitet sich millionenfach über asiatische Glücksspielseiten; ein Leak von Netzwerksicherheitsunternehmen Infoblox identifiziert die Software als Bestandteil des Vault-Viper-Netzwerks, einer mafiösen Cyber-Maschinerie, die Online-Glücksspiel, Geldwäsche und digitale Überwachung verbindet. Damit entpuppte sich der Universe Browser als ein perfektes Instrument zur Massenüberwachung, Datendiebstahl und Bereicherung krimineller Strukturen.
Der Browser, der alles kann – nur keine Privatsphäre
Wie Wired berichtete, taucht der als „Universe Browser“ angepriesene Web-Client regelmäßig auf asiatischen Glücksspielseiten auf und verspricht Geschwindigkeit, Sicherheit und Zensurumgehung. Dem aktuellen Infoblox-Leak, erstellt in Kooperation mit der UNODC (United Nations Office on Drugs and Crime), zufolge steckt hinter der Software jedoch kein seriöses Produkt, sondern das komplexe Cybercrime-Konglomerat Vault Viper.
Technisch gesehen verhält sich der Browser wie ein malwareähnliches Spionage-Tool. Er leitet alle Verbindungen über vom Netzwerk kontrollierte Server in China, installiert heimlich mehrere Hintergrund-Programme, manipuliert Netzwerkeinstellungen und nutzt Funktionen, die an Keylogger, Code-Injektionen und System-Hooks erinnern als ein offenes Tor für Überwachung, Identitäts- und Datendiebstahl sowie groß angelegten Betrug.
Technische Struktur und C2-Netzwerk von Vault Viper
Hinter der harmlosen Oberfläche des Universe Browser verbirgt sich ein hochkomplexes technisches Geflecht aus Servern, Proxys und Command-and-Control-Infrastrukturen (C2), die allesamt unter der Kontrolle von Vault Viper stehen. Die Untersuchungen von Infoblox Threat Intel zeigen, dass das Netzwerk mindestens ein Dutzend C2-Domains betreibt, verteilt auf Hosting-Anbieter in China, Hongkong, Taiwan, aber auch auf westliche Cloud-Umgebungen von Amazon Web Services (AWS), Google Cloud und Alibaba Cloud.
Zentraler Bestandteil dieser Struktur ist das autonome System WOODSNET-PH (AS55547), das nahezu ausschließlich unregulierte Glücksspielseiten in den Philippinen hostet. Hier befinden sich auch Domains, die direkt für die Steuerung und Aktualisierung des Universe Browser genutzt werden. Ein Großteil des Traffics läuft über eine Kombination aus SOCKS5-Proxys und SSH-Tunneln, mit denen Vault Viper verschlüsselte Kommunikationskanäle zu seinen Servern aufbaut. Die DNS-Auflösung erfolgt über Alibaba-DNS, was die Ermittler als bewusste Maßnahme zur Kontrolle und Verschleierung des Datenflusses interpretieren. Technische Artefakte im Browser-Code verweisen immer wieder auf dieselben Knotenpunkte:
- ac101[.]net – eine zentrale C2-Domain, aktiv seit mindestens 2006, die Update-Befehle und Binärpakete verteilt.
- ub66[.]com – dient als Upload-Endpoint für Bildschirmfotos und Telemetriedaten, die über die integrierte „Screenshot“-Erweiterung des Universe Browser gesendet werden.
- pb88[.]ac101[.]net – ein API-Knoten, über den der Browser seinen Status, Hardware-IDs und Proxy-Routen aktualisiert.
DNS-Tricks, Proxys und versteckte Server: Vault Vipers Taktiken
Laut Infoblox wurden über diese Infrastruktur mehr als 10.000 aktive Domains identifiziert, viele davon Klone bekannter Glücksspielseiten, die auf den ersten Blick harmlos wirken. Ihre DNS-Einträge sind jedoch alle über ein typisches Vault-Viper-Namensschema miteinander verbunden als Buchstaben- und Zahlencodes, gefolgt von der Endung „cne“. So nutzt etwa die Bolai-Casino-Domain 589988cne[.]com, während ac101[.]net auf 88ylccne[.]com verweist.
Diese wiederkehrende Signatur machte es Forschern möglich, das gesamte Netzwerk kartografisch nachzuvollziehen.
Auch die Verteilung des Browsers selbst ist technikgestützt organisiert. Auf Glücksspielseiten wird er als Zwei-Klick-Download angeboten. Die Windows-Version installiert den manipulativen UB-Launcher.exe, während die Android-Variante über inoffizielle APKs verteilt wird. Alle Optionen führen letztlich zu denselben Vault-Viper-Servern und aktivieren nach der Installation eine Kette von Hintergrundprozessen, die auf Befehle der C2s warten.
Was Vault Viper besonders gefährlich macht, ist die Mischung aus professioneller Softwarearchitektur und krimineller Absicht. Die Infrastruktur ist redundant, modular aufgebaut und auf Hochverfügbarkeit ausgelegt. Exakt so, wie man es von seriösen Cloud-Diensten kennt, nur mit einem anderen Zweck, nämlich einer totalen Kontrolle über Nutzergeräte und Datenströme.
Die technische Analyse zeigt, Vault Viper betreibt kein Botnetz im klassischen Sinn, sondern eine digitale Service-Plattform, über die Daten gesammelt, Geldflüsse getarnt und illegale Operationen synchronisiert werden können. Der Universe Browser ist dabei nur die sichtbare Spitze, das Interface einer globalen, verteilten Cybercrime-Fabrik.
Vault Viper verschleiert seine Infrastruktur
Vault Viper ist eine sorgfältig gestaltete, mehrschichtige Infrastruktur, deren Zweck nicht nur Betrieb, sondern vor allem Täuschung und Verstecken ist. Die Mechanismen, mit denen das Netzwerk seine Spur verwischt, sind technisch simpel genug, um robust zu sein, und komplex genug, um Ermittler zeitlich, personell und juristisch stark zu beanspruchen, ohne dass sie schnell zum Kern der Operation durchdringen.
Ziel ist nicht nur, Spuren zu verwischen, sondern aktiv dafür zu sorgen, dass die Untersuchung langsamer, teurer und weniger effektiv wird. Die Strategie besteht darin, die Operation so zu gestalten, dass Detection, Attribution und Abschaltung aufwändig werden und dadurch die kriminelle Infrastruktur länger und profitabler aktiv bleibt. Im Folgenden die wichtigsten Techniken, wie sie Infoblox identifiziert hat mit Blick auf den Universe Browser als primäres Angriffs- und Verteilungsinstrument.
DNS-Fingerprinting und Domain-Strategien
Vault Viper baut großflächig auf DNS-Taktiken, um Erreichbarkeit zu garantieren und Beobachter zu verwirren. Forscher fanden dabei:
- Massenhaft rotierende Domains: Tausende Domains mit ähnlichen CNAME-/A-Record-Mustern, viele kurze Lebenszyklen, schnelle Umzüge zwischen IP-Blöcken.
- Wiedererkennbare Namenskonventionen: Domains, deren Hostnamen ein typisches Vault-Viper-Pattern tragen (alphanumerische Präfixe plus „cne“), erlauben den Analysten trotz Obfuskation, Cluster zu gruppieren und Beziehungen aufzuzeigen.
- Domain-Generation / DDGA-Artefakte: Einige Endpunkte antworten mit speziellen HTTP-Codes (z. B. 418) und verschlüsselten Keys, die offenbar von clientseitigen DDGA-Routinen verarbeitet werden — ein Mechanismus, um konfigurierbare Updates und Proxyrouten dynamisch zu verteilen.
DNS-TXT und Covert Channels
Statt nur A-Records zu verwenden, nutzt Vault Viper DNS-TXT-Records als versteckten Kanal: verschlüsselte Konfigurationsdaten, Routing-Schlüssel oder kurze Befehle werden in TXT-Einträgen abgelegt und vom Web-Client dekodiert. Diese Methode hat zwei Vorteile. Zum einen ist sie schwer per Deep-Packet-Inspection zu filtern und zum anderen bleibt sie bei vielen Monitoring-Setups unbemerkt, weil TXT-Records oft für legitime Zwecke genutzt werden.
ASN-Abuse, Hosting-Mix und Cloud-Fronting
Die Operatoren mischen eigene ASN-Räume (z. B. WOODSNET-PH / AS55547) mit großen Cloud-Providern (AWS, Google, Alibaba). Dadurch entsteht eine hohe Resilienz gegen Abschaltungen. Kernservices laufen in eigenen IP-Bereichen, während Tunnels und Backends zusätzlich über renommierte Cloud-Provider verteilt werden, sodass einzelne Abschaltungen nur begrenzten Effekt haben.
Nutzung großer Clouds
Gleichzeitig erschwert die Nutzung großer Clouds wie Google oder AWS die Attribution erheblich, weil über diese Provider geleiteter Traffic den unmittelbaren Ursprung und die Verantwortlichen verschleiert, bis die Plattformen anhand formeller Abuse-Anfragen oder Gerichtsbeschlüsse detaillierte Logs herausgeben.
Proxy-Ketten und SSH/SOCKS5-Routen
Der Universe Browser installiert und verwaltet lokale Proxy-Configs (z. B. SOCKS5) und baut über SSH-Tunnels verschlüsselte Pfade zu Serverknoten in China/Hongkong auf. Die über SSH- und SOCKS5-Pfade aufgebauten Routen verbergen die eigentlichen Zielserver vor einfachen lokalen Netzwerkscannern. Über diese Proxy-Ketten kann Vault Viper gezielt „selective routing“ betreiben, etwa indem nur Glücksspiel- oder Zahlungsverkehr über bestimmte Knoten geleitet wird und so Erkennungs- und Blockversuche umgehen. Gleichzeitig dienen die Ketten als flexible Command-and-Control-Relays. Befehle, Updates oder zusätzliche Module lassen sich über die gleichen Pfade an kompromittierte Clients ausliefern, ohne die wahren Kontrollserver direkt offenzulegen.
Code- und Binary-Obfuskation
Die ausführbaren Komponenten des Netzwerks sind zudem stark obfuskiert, um Analysen zu erschweren. Die Binaries sind häufig mit UPX oder vergleichbaren Packers komprimiert. Ressourcen werden zusätzlich etwa über zlib-Varianten verschlüsselt abgelegt. Parallel dazu setzen die Programme auf Anti-Debugging-Mechanismen und VM-Checks, die eine Ausführung in Sandboxes oder Debug-Umgebungen verhindern sollen. Viele Module laden verschlüsselte Blobs (z. B. .rcc-Dateien oder verschlüsselte SQLITE3-Datenbanken) und verfügen über lokale Entschlüsselungsroutinen. Das macht statische Signaturerkennung weitgehend wirkungslos und zwingt zu aufwändigen, dynamischen Analysen in sicheren Laborumgebungen.
TLS / Zertifikat-Reuse und Name-Based Tricks
Operatoren verwenden gemischte Zertifikatsstrategien: Eigenzertifikate für C2-Domains, gelegentliche Zertifikatreuse über Subdomains und Fronting-Techniken (Domain-Fronting-ähnliche Patterns), um Requests als legitimen Cloud-Traffic erscheinen zu lassen. In einigen Fällen finden sich SSL-Subject-Fields mit BBIN-Bezügen — ein Beleg für organisatorische Bindungen.
Firmenfronten, Registrar-Abuse und Privacy-Holes
Technisch flankiert wird das Netz aus juristischen Verschleierungen. Hunderte Shell-Firmen in Offshore-Jurisdiktionen, Registrar-Datenschutz, gestreute Registrations-E-Mails und wechselnde WHOIS-Daten erschweren rechtliche Schritte. Domains werden über Privacy-Provider registriert und über Dutzende Rechnungs-/Hosting-Konten verwaltet, sodass ein einzelner Takedown nur kurzfristige Wirkung hat.
Verwendete Techniken erweisen sich als effektiv
Die Kombination aus schnellen Domain-Moves, Cloud-Relay-Taktiken, verschlüsselten Konfigurationskanälen und juristischer Verschleierung macht Vault Viper schwer fassbar. Anders als reine Malware-Botnets, die auf austauschbare C2-Hosts angewiesen sind, betreibt Vault Viper eine Service-Plattform. Sie bietet Infrastruktur, Zahlungswege und Distribution (Universe Web-Client) in einem. Dadurch sind Abschaltungen einzelner Knoten lediglich ein Ärgernis, aber kein Ende der Operation.
Kaum wird ein Server vom Netz genommen, aktiviert das Netzwerk bereits Ersatzsysteme. Innerhalb weniger Stunden sind neue Domains registriert, Proxyrouten neu gesetzt und modifizierte Installationsdateien im Umlauf. Die technische Resilienz von Vault Viper gleicht der eines globalen Konzerns, nur dass der Geschäftsbereich organisierte Kriminalität ist.
Das Netzwerk hinter Vault Viper: Von BBIN bis Suncity
Die Analysten tauften in ihrem Leak den dahinterstehenden Akteur „Vault Viper“. Dies ist ein Codename für ein weit verzweigtes, mafiöses Netzwerk. Hinter der Infrastruktur von Vault Viper steht ein professionell organisiertes Firmengeflecht, das sich über ganz Südostasien spannt. Im Zentrum befindet sich die Baoying Group, besser bekannt unter ihrem Handelsnamen BBIN, einer der größten iGaming-Dienstleister Asiens. Offiziell entwickelt BBIN Glücksspielsoftware und betreibt Casino-Plattformen. Tatsächlich aber liefert der Konzern die technische Basis für illegale Wettportale, Scam-Zentren und Geldwäschesysteme, die eng mit kriminellen Syndikaten in China, Kambodscha und auf den Philippinen verflochten sind. Maël Le Touz, Bedrohungsforscher bei Infoblox betonte:
„Wir haben keine Werbung für den Universe Browser außerhalb der von Vault Viper kontrollierten Domänen gesehen“.
Von außen wirkt alles legal. BBIN tritt mit glänzenden PR-Kampagnen auf, sponserte renommierte Fußballvereine wie Borussia Dortmund, Atlético Madrid und Ajax Amsterdam und präsentiert sich als globaler Tech-Player. Laut den Ermittlungen von Infoblox Threat Intel und der UNODC nutzt der Konzern allerdings diese Fassade, um Milliardenbeträge aus illegalen Online-Wetten zu verschleiern und über ein komplexes Netzwerk aus Firmen, Offshore-Konten und Zahlungsdienstleistern zu waschen.
Spur führt zu Online-Gambling
In umfangreichen DNS-Analysen entdeckten die Forscher tausende Domains, die auf dieselben IP-Bereiche und Servercluster verweisen. Viele davon befinden sich direkt in der Hand chinesischer und kambodschanischer Syndikate. Die Spur führt über die Philippinen, wo BBIN seit 2006 operiert, bis in die Cagayan Economic Zone Authority (CEZA), eine Sonderwirtschaftszone, die lange als rechtlicher Graubereich für Online-Gambling diente. Selbst nach dem Verbot der philippinischen Offshore-Gaming-Operatoren (POGOs) im Jahr 2024 blieb die Struktur aktiv, nur tiefer im digitalen Untergrund.
Die Verbindungen reichen bis zur Suncity Group und ihrem berüchtigten Gründer Alvin Chau, der 2023 wegen Geldwäsche und illegalem Glücksspiel zu 18 Jahren Haft verurteilt wurde. Laut chinesischen Gerichtsdokumenten hielt Chau zwei Drittel der Baoying-Anteile und nutzte das Unternehmen als Proxy, um seine Offshore-Operationen zu verschleiern. Gemeinsam mit Dong Lecheng alias Heng Tong, der in Kambodscha ganze Scam-Komplexe und Menschenhandelszentren betreibt, formte er ein Netzwerk, das Glücksspiel, Cybercrime und Menschenhandel technisch wie wirtschaftlich vereinte.
Was Infoblox hier freilegte, ist eine hybride Mafia aus Technologie, Kapital und Zwangsarbeit. Vault Viper ist ihr digitales Rückgrat, die Infrastruktur, über die Geld, Daten und Kontrolle fließen. Und im Zentrum dieses Systems steht ein Browser, der alles kann, außer Privatsphäre.
Die Drahtzieher von Vault Viper: Triadenbosse, Unternehmer und Menschenhändler
Die Ermittler stoßen bei ihren Recherchen zum Vault Viper-Leak immer wieder auf dieselben Namen. Neben Chau taucht Dong Lecheng, auch bekannt als Heng Tong, auf. Dies ist ein Unternehmer, der in Kambodscha ganze Scam-Komplexe betreibt, darunter das berüchtigte „Chinatown“-Areal in Sihanoukville. Dort laufen laut UNODC-Berichten Menschenhandel, Zwangsarbeit und Online-Betrug im industriellen Maßstab.
Lecheng gilt als einer der zentralen Financiers und Logistikpartner der Vault-Viper-Infrastruktur. Über seine Firmen in Kambodscha und Laos sollen sowohl Hosting-Dienste als auch Personalstrukturen abgewickelt werden. Der Kreis schließt sich: Chau und Lecheng betrieben Casinos, Plattformen und Server, Baoying lieferte die Technik, und Vault Viper verband beides zu einer perfekt getarnten, multinationalen Cyberkriminalitätsmaschine.
Vom Browser zur Backdoor: Wie Nutzer zu Opfern von Vault Viper werden
Für die Nutzer des Universe Browser lassen die Hintermänner es so aussehen, dass sie staatliche Sperren damit umgehen können. Wer das Programm jedoch installiert, öffnet sich in Wahrheit dem Zugriff eines kompletten Spionage-Frameworks.
Der Browser greift systemweit auf Netzwerk- und Clippboarddaten zu, leitet den gesamten Traffic über Vault-Viper-Server und deaktiviert Sicherheitsmechanismen wie Sandboxing. Damit verwandelt sich das Tool in eine permanente Backdoor, die Zugangsdaten, Kryptowallets und persönliche Informationen abgreifen kann ohne dass die Opfer es merken. Wer also glaubt, anonym zu sein, wird in diesem Ökosystem vollständig durchsichtig. Vault Viper erkennt Identitäten, Kontobewegungen und Aufenthaltsorte und monetarisiert jede dieser Informationen.
Das digitale Gesicht der neuen Cybermafia Vault Viper
Was Infoblox und die UNODC in ihrem Vault Viper-Leak aufgedeckt haben, ist ein Blick in das Herz einer digitalen Schattenökonomie. Vault Viper steht dabei für eine neue Generation. Sie sind mafiös organisiert, technisch ausgefeilt, global vernetzt und von außen kaum als solche erkennbar. Alles läuft über Cloud-Server und hochentwickelte Software-Frameworks.
Der Universe Browser ist das Paradebeispiel dieser Entwicklung. Unter dem Vorwand von „Privatsphäre“ und „Zensurumgehung“ verwandelt er Endgeräte in Datensonden und nutzt sie als Teil einer globalen Geld- und Informationsmaschine. Millionen ahnungsloser Nutzer werden so ungewollt Mitspieler in einem kriminellen Ökosystem, das Menschen ausbeutet, Geld wäscht und Ermittler systematisch austrickst.
Vault Viper demonstriert, dass der organisierte Cybercrime in Asien technisch hochgerüstet, wirtschaftlich integriert und politisch abgeschirmt durch juristische Grauzonen ist. Der Fall zeigt, dass illegales Online-Gambling zu einem der größten Treiber digitaler Finanzkriminalität, Datenhandel und Menschenhandel geworden ist.
Internationale Strafverfolger stehen vor einer neuen Art Gegner, nämlich kompletten Ökosystemen mit eigener Infrastruktur, Marketingabteilungen und Rechtsabteilungen, getarnt als Tech-Konzerne. Vault Viper hat dabei die globale Schattenwirtschaft perfektioniert, inklusive Kundendienst, Proxy-Netzen und „Privacy-Browsern“, die alles überwachen, was sie zu schützen vorgeben.
Damit ist Cybercrime eine Industrie, die mit jeder getarnten App, jedem anonymen Domain-Cluster und jeder gezielten Manipulation weiterwächst. Vault Viper ist dabei ihr neuestes Gesicht.
