🛡️ Executive Summary
- Infoblox Threat Intel ha identificato oltre 236.493 domini fraudolenti costruiti con il framework legittimo DCloud Uni-App.
- La stessa infrastruttura tecnica alimenta campagne di pig butchering, phishing, falsi exchange crypto, gambling truccato e wallet drainer.
- Le impronte lasciate dal framework consentono di mappare un ecosistema criminale globale che mostra evidenze di coordinamento e infrastrutture condivise.
Il framework cinese DCloud Uni-App, nato per semplificare lo sviluppo di applicazioni multipiattaforma, è diventato uno degli strumenti preferiti dalla criminalità informatica per costruire piattaforme fraudolente su scala industriale. Secondo una nuova analisi di Infoblox Threat Intel, dal 2022 sono stati identificati almeno 236.493 domini di secondo livello riconducibili a campagne che utilizzano questo toolkit per realizzare falsi exchange di criptovalute, operazioni di pig butchering, siti di phishing, piattaforme di gioco d’azzardo manipolate e strumenti dedicati al furto di wallet digitali. La ricerca dimostra come un framework completamente legittimo possa trasformarsi, grazie alla sua flessibilità e alla rapidità di sviluppo, nella base tecnologica di un’economia criminale globale. Il caso più emblematico resta RainbowEx, la piattaforma che nel 2024 ha coinvolto migliaia di cittadini argentini nella città di San Pedro, ma gli analisti ritengono che rappresenti soltanto una delle numerose istanze costruite utilizzando lo stesso modello tecnico.
Cosa leggere
RainbowEx ha mostrato la dimensione industriale delle truffe
L’attenzione internazionale si è concentrata su RainbowEx dopo il collasso dello schema fraudolento che ha coinvolto una parte significativa della popolazione di San Pedro, in Argentina. La piattaforma si presentava come un normale exchange di criptovalute, mostrando grafici di mercato, rendimenti e operazioni apparentemente autentiche. In realtà gli investimenti avvenivano esclusivamente in ingresso: i depositi venivano accettati, mentre i prelievi risultavano progressivamente impossibili. La vicenda, che ha coinvolto anche rappresentanti delle istituzioni locali, ha spinto i ricercatori ad analizzare il codice del portale, individuando la presenza del framework DCloud Uni-App. Da quel momento RainbowEx non è stato più considerato un episodio isolato, ma il primo esempio pubblico di un’infrastruttura software riutilizzata sistematicamente per costruire piattaforme fraudolente destinate a mercati differenti.
Un framework legittimo trasformato in strumento della criminalità
DCloud Uni-App è un progetto open source sviluppato da una società di Pechino per consentire la realizzazione di applicazioni cross-platform utilizzando un’unica base di codice basata su Vue.js. Il framework è largamente adottato da aziende e sviluppatori cinesi e non presenta alcuna funzionalità malevola. Tuttavia ogni progetto creato con Uni-App incorpora una serie di risorse, strutture di directory e componenti standard che costituiscono una vera e propria impronta digitale. Gli specialisti di Infoblox hanno sfruttato proprio questi elementi per sviluppare tecniche di fingerprinting capaci di distinguere le installazioni legittime da quelle impiegate nelle campagne di investimento fraudolento. Sebbene alcuni gruppi abbiano iniziato a modificare il codice per eliminare queste tracce, una parte consistente dell’ecosistema continua a mantenere caratteristiche facilmente riconoscibili.
Oltre 236.000 domini distribuiti in tutto il mondo

La ricerca ha censito almeno 236.493 domini utilizzati in operazioni fraudolente riconducibili allo stesso modello tecnico. I siti sono distribuiti su tutti i continenti e supportano numerose lingue, adattandosi rapidamente ai diversi mercati nazionali. L’analisi mostra una crescita relativamente contenuta fino all’autunno del 2024, seguita da un’accelerazione significativa dopo la diffusione mediatica del caso RainbowEx. Nei periodi di maggiore attività sono stati registrati circa 15.000 nuovi domini al mese, segnale di una produzione quasi industriale di nuove piattaforme. Secondo gli analisti la sovrapposizione tra i domini identificati tramite le impronte di DCloud e quelli classificati come investment scam suggerisce che una larga parte delle installazioni individuate sia effettivamente destinata ad attività criminali.
Dallo scam crypto al phishing, un unico modello per molte frodi

Lo stesso scaffolding viene adattato a campagne molto diverse tra loro. Oltre ai falsi exchange di criptovalute, gli operatori realizzano piattaforme dedicate al pig butchering, pagine di phishing distribuite tramite WhatsApp, siti che impersonano marchi internazionali, piattaforme di gioco d’azzardo manipolate e strumenti progettati per sottrarre fondi dai wallet di criptovalute. Il framework fornisce già componenti come dashboard di trading, procedure di registrazione, grafici finanziari simulati e integrazioni con Telegram, consentendo agli sviluppatori delle truffe di modificare soltanto loghi, testi e lingua di destinazione. Questa modularità riduce drasticamente tempi e costi di sviluppo, permettendo di distribuire rapidamente nuove campagne adattate a differenti aree geografiche.
Hosting e infrastrutture suggeriscono un coordinamento tra gruppi

Le analisi di Infoblox Threat Intel evidenziano elementi che fanno pensare all’esistenza di operatori in grado di controllare contemporaneamente grandi quantità di domini. Alcuni cali improvvisi e sincronizzati nella registrazione di nuovi siti, osservati su provider differenti, suggeriscono infatti interventi coordinati o modifiche applicate contemporaneamente a più infrastrutture. I ricercatori hanno inoltre individuato pattern ricorrenti nell’utilizzo di servizi di bulletproof hosting, particolarmente diffusi tra gli operatori che hanno rimosso le impronte standard del framework per ostacolare il rilevamento. Sebbene l’ecosistema sia popolato da gruppi indipendenti, tutto lascia pensare all’esistenza di template condivisi, venduti o distribuiti privatamente tra organizzazioni criminali che mantengono comunque una base tecnologica comune.
Le truffe online si estendono anche al mondo reale

L’impiego del framework non rimane confinato al cyberspazio. Alcune campagne individuate dagli analisti dimostrano come la componente digitale venga utilizzata per sostenere schemi fraudolenti nel mondo fisico. Tra gli esempi figura Lightning Shared Scooter Co., un presunto progetto di investimento nel settore della mobilità, oltre ad altre iniziative che utilizzano società registrate negli Stati Uniti per conferire maggiore credibilità alle operazioni. La combinazione tra marketing online, piattaforme di investimento apparentemente professionali e attività economiche reali rende le frodi molto più convincenti rispetto ai tradizionali schemi di phishing.
Un nuovo indicatore per la threat intelligence
Il caso DCloud Uni-App dimostra come anche strumenti completamente legittimi possano diventare elementi fondamentali delle moderne supply chain criminali. L’identificazione delle impronte tecniche permette oggi ai team di threat intelligence di individuare rapidamente cluster di domini correlati, osservare l’evoluzione delle campagne e anticipare nuove ondate di registrazioni fraudolente. Allo stesso tempo rappresenta un promemoria per i difensori: la presenza di un framework open source non costituisce di per sé un indicatore di compromissione, ma quando viene combinata con specifici pattern di hosting, flussi applicativi e template di investimento può rivelare l’esistenza di infrastrutture criminali molto più ampie. Per le organizzazioni che operano nei settori finanziario, delle criptovalute e dell’e-commerce, il monitoraggio di questi fingerprint costituisce uno strumento sempre più importante per bloccare tempestivamente nuovi domini malevoli e comprendere le connessioni tra campagne apparentemente indipendenti.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









