Par Assaf Morag, chercheur en cybersécurité, et Adrian Cheek, chercheur principal en cybercriminalité
Nous avons mis au jour une infrastructure de jeux d'argent en langue chinoise à grande échelle, utilisant les marques FIFA et Coupe du Monde pour attirer du trafic, promouvoir les paris offshore et amplifier la fraude liée à l'événement. Cette activité ne se limite pas à des domaines isolés ni à des escroqueries opportunistes. Elle semble plutôt reposer sur des modèles reproductibles, des fournisseurs communs, des réseaux d'opérateurs coordonnés et une infrastructure conçue pour un déploiement rapide avant le tournoi.
Les paris illégaux ne se limitent plus aux jeux d'argent. Ils s'entremêlent de plus en plus avec la cybercriminalité, la fraude financière, les systèmes de paiement clandestins, la diffusion de logiciels malveillants et les réseaux criminels organisés. La dépendance de l'infrastructure à un nombre relativement restreint de fournisseurs et de schémas techniques laisse penser qu'une perturbation coordonnée pourrait être possible avant même que le tournoi n'atteigne son pic d'attention mondiale.
À propos de cette série de la Coupe du monde
Les États-Unis, le Canada et le Mexique ont été choisis pour accueillir la Coupe du Monde de la FIFA 2026. Début avril 2026, la liste des 48 équipes participant à la phase finale est désormais complète.
Comment les acteurs malveillants réagissent-ils ? Qu’est-ce qui se dessine déjà au sein des communautés du dark web et du deep web ?
Ce blog fait partie de la série de Flare sur la cybercriminalité pendant la Coupe du Monde 2026, un ensemble d'articles de recherche ciblés analysant l'évolution des menaces liées à la compétition. Cette série explore des domaines clés, notamment : infrastructure de phishing, fraude et escroqueries, attaques de vol d'informations, services de streaming illégaux, plateformes de paris illicites, menaces internes et autres activités cybercriminelles visant la Coupe du monde 2026.
Principales conclusions sur le Infrastructures de jeux d'argent en langue chinoise ciblant la Coupe du monde
- L'infrastructure des paris en Asie-Pacifique semble vaste, centralisée et potentiellement automatisée. Nous avons consolidé un échantillon de 8 867 domaines contenant la chaîne FIFA dans le nom de domaine, le code HTML, les en-têtes et les métadonnées.
- Les milliers de sites de paris indépendants sur le thème de la FIFA étaient regroupés en plusieurs grands groupes d'infrastructures de paris en langue chinoise.L'infrastructure présentait des signes évidents de déploiement coordonné et potentiellement automatisé, notamment des fournisseurs DNS partagés, des modèles HTML répétitifs, des ressources JavaScript réutilisées, une infrastructure de favicon commune, des certificats partagés et une utilisation concentrée des bureaux d'enregistrement. Des recherches inversées utilisant des modèles de paris en langue chinoise ont été effectuées.
- Les opérateurs utilisent activement des techniques de camouflage et de tromperie pour donner une apparence légitime ou inoffensive aux infrastructures de jeux d'argent.Nous avons identifié des sites web intégrant des superpositions iframe plein écran affichant des pages de type universitaire chinois, tout en dissimulant une infrastructure liée aux paris en ligne. Ces modèles trompeurs utilisaient des images académiques, des logos institutionnels et des métadonnées anodines, notamment des favicons ressemblant à ceux d'ONG, d'établissements d'enseignement et d'organismes de santé, probablement destinés à échapper à la détection, à réduire les soupçons et à compliquer l'analyse automatisée de la réputation.
- Cette infrastructure qui soutient cette économie est centralisée et dépendante, sur le plan opérationnel, d'un petit nombre de fournisseurs et de groupes d'opérateurs.Une perturbation significative serait possible grâce à une application coordonnée de la loi et à une intervention au niveau de l'infrastructure. Bien que ciblant un événement sportif mondial, l'écosystème a convergé à plusieurs reprises vers les mêmes fournisseurs DNS, bureaux d'enregistrement, réseaux d'hébergement, certificats et modèles de déploiement, ce qui indique qu'une grande partie de l'opération pourrait reposer sur un ensemble limité de services étroitement liés plutôt que sur une infrastructure criminelle totalement décentralisée.
Identifier l'infrastructure derrière les campagnes de fraude organisées
Flare surveille les journaux de voleurs, les listes d'identifiants divulguées et les marchés clandestins pour découvrir la chaîne d'approvisionnement qui alimente les écosystèmes de fraude.
Les paris illégaux en ligne comme phénomène mondial
Selon ForbesLes jeux d'argent sont devenus l'une des plus importantes économies mondiales, estimée à environ 5 900 milliards de dollars à l'échelle planétaire, en incluant les marchés réglementés et non réglementés. Plus récemment, le FBI a mis en garde contre les liens étroits qui unissent les plateformes de jeux d'argent en ligne illégales et offshore au crime organisé et à la cybercriminalité en général.
Bien que les paris sportifs soient légalisés dans de nombreux États américains, le FBI constate que les Américains continuent de miser chaque année des centaines de milliards de dollars sur des plateformes offshore non réglementées, opérant hors de la juridiction américaine et offrant une protection quasi inexistante aux consommateurs. Selon l'agence, ces plateformes sont fréquemment impliquées dans le blanchiment d'argent, la traite des êtres humains, le trafic de drogue et d'armes, la fraude fiscale, l'escroquerie, l'extorsion et le vol d'informations personnelles et financières.
Le FBI a par ailleurs souligné que les écosystèmes de paris illégaux fonctionnent de plus en plus comme partie intégrante de vastes réseaux criminels transnationaux exploitant des infrastructures offshore, des cryptomonnaies, des systèmes de paiement clandestins et des opérations cybernétiques pour cibler des utilisateurs du monde entier.
Une « expérience » de paris est proposée sur Telegram (Flare lien vers la publication, inscrivez-vous à essai gratuit(pour y accéder si vous n'êtes pas déjà client)
La dimension APAC
La région Asie-Pacifique, et plus particulièrement la Chine et l'Asie du Sud-Est, est devenue l'un des principaux centres de cette activité. Bien que la Chine interdise officiellement les jeux d'argent, on estime que les citoyens chinois misent chaque année des centaines de milliards de dollars sur des plateformes de paris offshore opérant depuis des juridictions telles que le Cambodge, le Myanmar, le Laos et les Philippines.
Selon l'Office des Nations Unies contre la drogue et le crime et les forces de l'ordre régionales évaluationsLes escroqueries en ligne et les opérations de jeux de hasard illégaux en Asie du Sud-Est ont généré, ces dernières années, entre 37 et 44 milliards de dollars par an, de nombreux réseaux étant liés à des groupes criminels organisés sinophones.
Ces écosystèmes se recoupent de plus en plus avec la fraude à l'investissement. phishing Des campagnes publicitaires, de fausses applications de paris, le blanchiment de cryptomonnaies et la diffusion de logiciels malveillants sur appareils mobiles se propagent via Telegram, WeChat, WhatsApp et les réseaux sociaux, notamment lors de grands événements sportifs. Les autorités de la région ont démantelé des milliers de plateformes de jeux d'argent illégales, et des enquêtes ont établi des liens entre certains réseaux et de vastes réseaux d'escroquerie employant des personnes victimes de traite dans des conditions de travail forcé.
Pourquoi les paris illégaux sont importants pour la cybersécurité
Du point de vue de la cybersécurité, les écosystèmes de paris en ligne illégaux présentent des risques importants qui vont au-delà du simple jeu. Ils facilitent :
- Blanchiment à grande échelle des produits de la cybercriminalité
- Vol d'identifiants
- Fraude financière
- Distribution de logiciels malveillants via des applications de paris et des réseaux publicitaires
- Abus de l'infrastructure des cryptomonnaies
- Traitement clandestin des paiements et banque parallèle
Dans de nombreux cas, ces opérations prospèrent dans des juridictions où la gouvernance est laxiste, permettant ainsi aux groupes criminels organisés transfrontaliers de conjuguer cybersécurité et exploitation financière et humaine. De ce fait, l'écosystème des paris illégaux en ligne de la région Asie-Pacifique représente bien plus qu'un simple problème de jeu. Il s'est transformé en une économie criminelle hybride où cybercriminalité, fraude financière, crime organisé et infrastructure numérique convergent de plus en plus pour former l'une des plus importantes industries clandestines liées à la cybercriminalité au monde.
Domaines contenant le nom de la FIFA : une infrastructure de jeux d’argent en langue chinoise révélée
Nous avons consolidé un échantillon de 8 867 domaines contenant la chaîne « fifa ». Alors que l’on pourrait supposer que ces domaines de notre ensemble de données sont utilisés dans le cadre d’une campagne de typosquatting visant les acheteurs anglophones de billets et de biens de consommation, nous avons rapidement découvert que la majorité de ces domaines font partie d’un réseau de paris sportifs et de fermes de liens en langue chinoise utilisant la marque FIFA et la Coupe du monde 2026 comme appât, construit sur une infrastructure DNS partagée, un hébergement partagé et une infrastructure de certificats partagés.
Accélération des inscriptions
Bien que nos recherches se soient terminées le 24 avril 2026, nous avons constaté que les inscriptions s'accéléraient à l'approche du tournoi :
- 4 834 des domaines (54.5 %) ont été créés en 2026.
- 2 741 en mars-avril 2026
De plus, nous avons constaté que quatre groupes d'opérateurs distincts concentrent la majeure partie de l'activité. Ceci indique fortement que ces domaines ont été créés au sein d'une infrastructure unique, ou plutôt de plusieurs infrastructures adjacentes. Environ 53 % des domaines utilisent share-dns.com ou share-dns.net comme serveur de noms principal, et quatre bureaux d'enregistrement (Name SRS AB, GMO Internet, Gname et Metaregistrar) représentent 55 % des enregistrements. 2 704 domaines (36 % des enregistrements analysés) présentent un score de risque de 90 ou plus, et 387 atteignent le score maximal de 100. 54 % d'entre eux renvoient actuellement un code HTTP 200 avec du contenu actif.
Modèles de sites Web et analyse de contenu
L'indice le plus clair est le contenu même du site web.
Sur 4 186 domaines dont le titre HTML a été capturé, 3 764 (89.9 %) contiennent des caractères chinois. Les jetons de titre les plus fréquents :
| Token | Traduction | Fréquence |
|---|---|---|
| 世界杯 | Coupe du monde | 2,886 |
| Plate-forme | Plateforme | 1,607 |
| 投注 | Pari | 1,045 |
| 买球 | Parier (littéralement « acheter une balle ») | 966 |
| Site officiel | Site officiel | 807 |
| 直播 | Diffusion en direct | 645 |
Les indicateurs d'hameçonnage en anglais sont relativement rares. Le terme « bet » n'apparaît que dans 17 titres.
Infrastructure de paris non officielle sur le thème de la FIFA avec le domaine fifa-worldcup[.]com[.]cn
Les titres sont fortement standardisés. Les 100 titres uniques les plus courants couvrent environ 1 700 domaines, et des variantes quasi identiques se répètent des centaines de fois.
Voici quelques exemples:
- 2026世界杯官方(买球)有限公司 La Coupe du Monde 2026 apparaît sur 103 domaines,
- 2026国际足联世界杯买球 – 世界杯投注官网 | La Coupe du Monde de la FIFA apparaît sur 54 domaines
- 世界杯-世界杯(FIFA WC)官网-2026世界杯直播平台 apparaît sur 49 domaines
La structure des modèles est cohérente avec le déploiement par un petit nombre d'opérateurs du même kit de page de destination sur des centaines de domaines jetables.
Le site web mx-cwc-fifa[.]com contient la chaîne de caractères suivante dans son titre : « 2026 »世界杯官方(acheterballe)Limitéet mx = Mexique, cwc = Coupe du monde et FIFA dans le nom de domaine
Conventions de nommage de domaine formulaires
Après suppression de la chaîne « fifa » des domaines, l’analyse du texte restant révèle une nomenclature stéréotypée :
- zh : 1 577
- Coupe du monde de la FIFA : 1 137
- cn : 680
- fifaclub : 369
- Coupe du monde : 320
- fifa2026:307
- unité : 305
- fifacwc : 286
- ultime : 243
- fifawc : 240
- football : 227
- cwc : 219
- Royaume-Uni : 205
Les chaînes de caractères récurrentes « zh » et « cn » indiquent clairement un ciblage en langue chinoise. Les jetons « ea » et « ultimate » font référence à EA Sports FIFA Ultimate Team, une marque de jeux distincte, ce qui suggère que les opérateurs ciblent également le trafic recherchant du contenu lié aux jeux.
Au-delà des domaines nommés par la FIFA : l’infrastructure au sens large
L'étude initiale portait sur les domaines contenant la chaîne « FIFA ». Cependant, la question plus générale est celle de l'étendue de cette infrastructure liée à la FIFA. Pour y répondre, nous avons recherché deux modèles de paris en langue chinoise (世界杯 et 买球) sur tous les domaines actifs, qu'ils contiennent ou non « FIFA » dans leur nom. Les résultats ont été considérablement plus nombreux. Nous avons trouvé 33 726 adresses IP sur Shodan suite à cette recherche, dont 31 652 ont généré 200 résultats HTTP.
Les adresses IP étaient soit liées à un nom de domaine, soit hébergeaient des sites de jeux d'argent dans le cadre d'une infrastructure plus robuste et persistante.
Un site web qui mentionne la Coupe du Monde de la FIFA sans que le nom de domaine contienne le mot FIFA.
Techniques de masquage et de tromperie
Nous avons constaté que de nombreuses pages utilisent une iframe en plein écran pour masquer le contenu sous-jacent relatif aux jeux d'argent. Bien que le code HTML contienne des métadonnées et des éléments de marque liés aux paris, tels que « xc体育 », « xcsports » et des descriptions typiques des jeux d'argent, il charge immédiatement un script externe depuis sjbe.njsoosd2026.com/jump.js et affiche une iframe fixe provenant de sjbe.njsoosd2026.com en haut de la page.
La superposition est stylisée avec les propriétés `position: fixed`, `height: 100%`, `overflow: hidden` et un `z-index` extrêmement élevé, ce qui donne aux visiteurs l'apparence d'un site web universitaire chinois innocent, tandis que l'infrastructure de jeux d'argent reste dissimulée dans le code source. Nous avons également repéré dans ce code des images qui semblent provenir d'un laboratoire universitaire.
Le code HTML du site web contient des textes et des images trompeurs destinés à faire croire qu'il s'agit de sites web liés à des universités chinoises.
L'icône semble représenter deux silhouettes humaines stylisées vertes, ou des formes abstraites, interagissant autour d'un élément central rose/rouge, évoquant peut-être une poignée de main, un ruban ou un symbole entrelacé. Nous n'avons pas pu identifier d'entité précise à laquelle rattacher ce logo, mais il ressemble à celui de certaines ONG et organisations éducatives.
logo de type universitaire
En élargissant la recherche à l'icône du site, nous obtenons 1 115 adresses IP. Certaines sont liées à des organisations légitimes au Royaume-Uni (XS Sports Equipment), d'autres à des sites de paris (comme William Hill et Bet365), et d'autres encore à des domaines aléatoires dans le monde entier (par exemple, zenithspring.com au lieu de zenithsprings.com).
Infrastructure de certificats partagés
De plus, nous avons vu un certificat CN (0476jhzx[.]com) créé aléatoirement, partagé sur 170 adresses IP avec le même modèle, toutes portant le titre FIFA世界杯2026-小组赛分组结果及赛程时间安排 (traduit par FIFA World Cup 2026 – Group Stage Dessiner). Tous les sites Internet sont hébergés sur des IP liées à la géolocalisation de la Corée du Sud (FEDERAL ONLINE GROUP LLC).
Recommandations pour les équipes de sécurité
Voici quelques recommandations pour aborder ces domaines et infrastructures :
- Élargissez vos investigations au-delà du domaine initialement identifié. Les infrastructures malveillantes et d'usurpation d'identité sont souvent déployées dans le cadre de campagnes coordonnées de plus grande envergure qui réutilisent les conventions de nommage, les modèles, les fournisseurs DNS, l'infrastructure d'hébergement, les certificats, les identifiants analytiques et les favicons sur des centaines, voire des milliers de domaines.
- Analysez les éléments d'infrastructure partagés tels que les certificats SSL, leurs noms communs (CN), les hachages de favicon, les identifiants Google Analytics, les enregistrements DNS, les modèles WHOIS, les modèles HTML, les ressources JavaScript et les services tiers intégrés. Ces indicateurs révèlent souvent une infrastructure adjacente exploitée par les mêmes acteurs.
- Analysez le contenu et les métadonnées des sites web dans plusieurs langues. Les acteurs malveillants adaptent de plus en plus leurs infrastructures de phishing, de jeux d'argent, de fraude et d'usurpation d'identité aux spécificités régionales, ce qui signifie qu'une surveillance exclusivement en anglais risque de passer à côté d'une part importante d'une campagne.
- Recherchez des signes de déploiement par modèle. Des titres HTML quasi identiques, des mots-clés répétés, des structures de page réutilisées, des fichiers JavaScript partagés et des thèmes visuels récurrents peuvent indiquer des kits centralisés ou des groupes d'opérateurs coordonnés plutôt que des domaines malveillants isolés.
- Il convient d'examiner les relations d'infrastructure plutôt que de se concentrer uniquement sur les noms de domaine. Les fournisseurs de DNS partagés, les hébergeurs, les configurations de CDN, les bureaux d'enregistrement, les chaînes de redirection et les chevauchements d'adresses IP inversées peuvent révéler des écosystèmes malveillants plus vastes et des dépendances opérationnelles.
- Examinez les domaines inactifs ou en attente associés aux mêmes opérateurs. Les acteurs malveillants préenregistrent souvent un grand nombre de domaines avant des événements majeurs, des lancements de produits ou des campagnes, et les activent de manière opportuniste au fil du temps.
- Inspectez le code HTML sous-jacent, les scripts et les ressources intégrées afin de détecter les techniques de tromperie telles que les superpositions d'iframe, le camouflage, les redirections cachées, les marques trompeuses ou le masquage de contenu destinés à contourner l'analyse automatisée ou à paraître légitimes aux utilisateurs.
- Corréler les résultats avec des sources de renseignements externes, notamment le DNS passif, Shodan, les plateformes d'analyse d'URL, les sandboxes de logiciels malveillants, les journaux de transparence des certificats et les flux de renseignements sur les menaces, afin d'identifier des infrastructures supplémentaires et une activité historique.
- Surveillez les plateformes de messagerie et les réseaux sociaux tels que Telegram, WhatsApp, Discord, WeChat et les services de médias sociaux, qui sont de plus en plus utilisés pour diffuser des liens malveillants, des promotions de paris, des campagnes d'hameçonnage et des applications contenant des logiciels malveillants.
- Partagez les indicateurs de compromission (IOC) et les conclusions relatives à l'infrastructure avec les bureaux d'enregistrement, les fournisseurs d'hébergement, les CERT, les équipes de protection des marques, les processeurs de paiement et les communautés de partage de renseignements de confiance afin d'améliorer les efforts de réponse coordonnée et de réduction des perturbations.
Cette recherche révèle que l'utilisation abusive de domaines sur le thème de la Coupe du monde de la FIFA ne relève pas principalement d'un problème traditionnel d'hameçonnage ou de contrefaçon, mais fait plutôt partie d'un vaste écosystème de jeux d'argent offshore en langue chinoise, profondément imbriqué dans l'infrastructure de la cybercriminalité.
L'opération exploite des fournisseurs DNS partagés, un hébergement partagé, des certificats partagés, des pages de destination préétablies, la distribution via Telegram et des techniques de masquage trompeuses pour déployer à grande échelle des milliers de domaines liés aux paris avant la Coupe du Monde de la FIFA 2026.
L'infrastructure présente les caractéristiques de groupes d'opérateurs coordonnés plutôt que d'abus opportunistes isolés, tout en soulignant la convergence croissante entre les paris illégaux, les systèmes financiers clandestins, la fraude facilitée par le cyberespace et le crime organisé dans la région Asie-Pacifique.
Identifier l'infrastructure derrière les campagnes de fraude organisées
Flare surveille les journaux de voleurs, les listes d'identifiants divulguées et les marchés clandestins pour découvrir la chaîne d'approvisionnement qui alimente les écosystèmes de fraude.
Analyse de l'infrastructure : TLD, registraire et hébergement
Les inscriptions au tournoi s'accélèrent.
Le calendrier des enregistrements est l'indicateur le plus fiable qu'il s'agit d'une campagne événementielle. 4 834 domaines ont été créés en 2026 et 1 297 en 2025. Ces deux années représentent à elles seules 69 % des données. L'essentiel des enregistrements se concentre sur quelques jours de forte activité.
| Date | Domaines enregistrés |
| 31 mars | 498 |
| le 22 avril 2026 | 497 |
| Le 2 juin 2025 | 376 |
| 20 février 2026 | 263 |
| 3 mars | 238 |
| 9 mars | 205 |
| le 11 avril 2026 | 188 |
| le 2 avril 2026 | 163 |
Les mois de mars et avril 2026 représentent à eux seuls 4 296 inscriptions. Juin 2025 en a enregistré 651 en un seul mois, probablement en lien avec le début de l'annonce de la billetterie. Cette croissance n'est pas organique ; il s'agit d'inscriptions groupées, synchronisées avec des périodes clés du calendrier du tournoi.
La durée de vie des domaines est conforme à une infrastructure jetable. Sur 7 593 domaines pour lesquels des données d'expiration exploitables sont disponibles, 6 536 (86 %) sont enregistrés pour une durée de 365 jours. Les expirations sont fortement concentrées en mars et avril 2027, avec respectivement 2 226 et 2 096 domaines arrivant à expiration durant ces mois, ce qui correspond au pic d'enregistrements observé un an auparavant. Peu d'opérateurs optent pour des renouvellements pluriannuels.
Distribution des TLD
Le .com domine, mais la longue traîne est notable. Trois TLD gratuits Freenom (.tk, .ga, .cf) apparaissent dans 476 domaines au total, et l'ensemble des nouveaux gTLD bon marché (.top, .shop, .online, .xyz, .club) en compte plusieurs centaines d'autres. Cette distribution est typique des réseaux d'escroquerie jetables.
| TLD | Nombre de domaines | Share |
| .com | 6,879 | 77.6 % |
| .tk | 426 | 4.8 % |
| . Ru | 152 | 1.7 % |
| . De | 145 | 1.6 % |
| . Net | 132 | 1.5 % |
| . Infos | 93 | 1.0 % |
| .ga + .cf (Freenom) | 50 | 0.6 % |
| Autres (160 TLD) | 990 | 11.2 % |
Concentration du registraire
Les quatre principaux bureaux d'enregistrement gèrent 4 860 domaines, soit 54.8 % du total. Cette concentration a des conséquences importantes sur la stratégie de retrait des noms de domaine. Un seul signalement d'abus coordonné pourrait concerner 1 665 domaines, soit environ 19 % du réseau.
| Registraire | Nombre de domaines | Share |
| Nom SRS AB | 1,665 | 18.8 % |
| GMO Internet, Inc. | 1,590 | 17.9 % |
| Gname.com Pte. Ltd. | 831 | 9.4 % |
| Metaregistrar BV | 774 | 8.7 % |
| Cosmotown, Inc. | 527 | 5.9 % |
| Technologie Fly-Digital de Chengdu | 215 | 2.4 % |
| GoDaddy.com, LLC (toutes variantes) | 146 | 1.6 % |
| Autres (419 greffiers) | 2,764 | 31.2 % |
La société SRS AB (Suède) est presque exclusivement associée au service de protection de la vie privée Shield Whois, qui apparaît sur 1 647 enregistrements. GMO Internet (Japon) est associée au service de protection de la vie privée onamae.com sur 1 573 enregistrements. Ces associations sont suffisamment précises pour servir d'empreintes digitales d'opérateur, même lorsque les données de contact sous-jacentes sont masquées.
Concentration d'hébergement : Fournisseurs de type Bulletproof à Hong Kong
Sur 6 625 domaines disposant d'une adresse IP résolue, 3 205 (48.4 %) sont hébergés à Hong Kong. Les États-Unis arrivent loin derrière avec 1 538 domaines, suivis des Pays-Bas (385) et du Brésil (336). Cette forte concentration à Hong Kong s'explique par deux ASN qui représentent à eux seuls 36.8 % de l'ensemble des domaines hébergés.
| ASN | Meilleur FAI | Pays | Domaines | Share |
| 138415 | Yancy Limited / Redluff LLC | HK / US | 1,343 | 20.3 % |
| 134548 | Cloud Innovation Ltd / Service Dxtl | HK | 1,096 | 16.6 % |
| 132839 | Digital Core Technology Co. Limited | HK | 529 | 8.0 % |
| 134175 | Service de Hong Kong | HK | 485 | 7.3 % |
| 9294 | Gnet Inc. | KR | 431 | 6.5 % |
| 31624 | Verotel International BV | NL | 346 | 5.2 % |
| 13335 | Cloud Flare Inc. | US | 210 | 3.2 % |
Les ASN 138415 (Yancy Limited et Redluff LLC) et 134548 (Cloud Innovation Ltd, Dxtl-service, Dingfeng Xinhui HK Technology Limited) sont les deux plus importants fournisseurs d'hébergement opérateur. Ces deux ASN présentent plusieurs noms de FAI partageant le même numéro ASN, une pratique courante pour l'hébergement revendeur à plusieurs niveaux sur une infrastructure ultra-sécurisée. L'ASN 31624 (Verotel International, Pays-Bas) est le seul hébergeur non asiatique d'envergure, et Verotel est connu pour proposer du contenu pour adultes et des services de paiement à risque.
On observe également un taux de co-hébergement important pour certaines adresses IP. 24 adresses IP hébergent au moins 10 domaines FIFA. Les principales concentrations sont indiquées ci-dessous :
| Votre adresse IP | Domaines hébergés | Pays |
| 203.27.227.29 | 39 | AU |
| 68.178.232.99 | 39 | US |
| 34.98.99.30 | 32 | US |
| 198.54.117.212 | 29 | US |
| 195.20.48.1 | 26 | NL |
| 182.16.52.26 | 23 | HK |
| 217.70.184.38 | 22 | FR |
| 109.70.26.37 | 21 | AT |
Les certificats TLS révèlent les flottes des opérateurs
La réutilisation des certificats TLS constitue un lien plus fort entre opérateurs que le partage d'adresses IP, car le déploiement d'un même certificat sur plusieurs domaines nécessite une infrastructure contrôlée par l'opérateur plutôt qu'un hébergement CDN partagé. Sur les 4 051 certificats uniques de l'ensemble de données, 51 sont partagés par au moins cinq domaines FIFA. Ces 51 certificats regroupent 1 091 domaines, soit 21.3 % de tous les domaines utilisant SSL. Les plus grands regroupements se concentrent sur un petit nombre de noms communs contrôlés par les opérateurs.
| Nom commun du certificat | Domaines | Hachage du certificat (préfixe) |
| platfrom-jiuyou.com.cn | 97 | 170de6e3 XNUMX |
| www.zh-as-fifaclub.com | 50 | 8faf5648 |
| www.zh-bc-fifaclubsjb.com | 50 | 95e960f5 |
| www.zh-bc-fifaclubcwc.com | 50 | EC93F331 |
| www.zh-ah-fifaclub.com | 50 | 819a65ce |
| www.zh-bc-fifaclubworldcup.com | 50 | bc5f28f7 |
| www.zh-bc-fifa.com | 43 | 6bcd04e5 |
| submit-kaiyun.com | 43 | 300b5e02 |
| www.zh-bc-fifacwc.com | 42 | 8764993c |
| b.qsywater.com | 37 | fb4b3d84 |
| china-zh-fifa.com | 36 | 920c9142 |
La structure des noms en haut de la liste des certificats est révélatrice. Les certificats couvrent des noms courants de la forme zh-XX-fifaclub.com, zh-bc-fifaXXX.com et china-zh-fifa.com, où XX est un sous-code à deux lettres. Un seul certificat (platfrom-jiuyou.com.cn, notez la faute d'orthographe de « platform ») couvre 97 domaines. Cela correspond à un opérateur unique utilisant un ensemble de certificats standardisés basés sur une identité de marque principale.
Groupes d'opérateurs
L'association du registraire, du serveur de noms principal et du service de confidentialité du titulaire produit quatre groupes d'opérateurs distincts qui représentent ensemble 4 697 domaines (53 % du réseau).
| Grappe | Registraire | Confidentialité / Inscrit | Domaine NS1 | Domaines |
| Qui est le bouclier | Nom SRS AB | Shield Whois (SE) | share-dns.net / .com | 1,618 |
| onamae | GMO Internet, Inc. | Protection de la vie privée Whois par onamae.com | share-dns.net / .com | 1,573 |
| Gname | Gname.com Pte. Ltd. | Mixte | share-dns.net / .com | 732 |
| Freegistry | Metaregistrar BV | Freedom Registry, Inc. | Mixte (.tk-heavy) | 774 |
Les groupes Shield Whois et onamae sont strictement incompatibles. Seul un léger chevauchement existe : un domaine enregistré chez Name SRS AB utilise le service de confidentialité onamae.com, et inversement. Le groupe Gname partage la même infrastructure de serveurs DNS partagés que les deux autres, ce qui suggère soit un opérateur DNS partagé, soit un kit partagé configuré par défaut sur un DNS partagé.
Le groupe Freegistry fait figure d'exception. Il se concentre sur les TLD Freenom (.tk, .ga, .cf) et utilise Freedom Registry, Inc. comme organisme d'enregistrement visible. Ce groupe présente un modèle économique différent, basé sur l'enregistrement gratuit de domaines plutôt que sur des achats groupés payants. Il s'agit probablement soit d'un opérateur distinct, soit d'une activité parallèle à moindre coût au sein du même écosystème.
Indicateurs d'intérêt
Les indicateurs suivants méritent d'être considérés comme des artefacts d'opérateur à haute fiabilité pour la surveillance.
- Serveurs de noms principaux : share-dns.com, share-dns.net (4 720 domaines combinés)
- Associations entre registraire et protection de la vie privée : Name SRS AB + Shield Whois (1 618 domaines), GMO Internet + protection de la vie privée onamae.com (1 573 domaines)
- ASN d'intérêt : 138415 (Yancy Limited / Redluff, 1 343 domaines), 134548 (Cloud Innovation / Dxtl-service, 1 096), 132839 (Digital Core Technology, 529), 134175 (Hong Kong Service, 485)
- Noms communs des certificats couvrant plusieurs domaines : platfrom-jiuyou.com.cn (97 domaines), submit-kaiyun.com (57 domaines), la famille zh-XX-fifaclub (six certificats, 300 domaines au total)
- Adresses IP partagées hébergeant 20 domaines FIFA ou plus : 203.27.227.29, 68.178.232.99, 34.98.99.30, 198.54.117.212, 195.20.48.1, 182.16.52.26, 217.70.184.38, 109.70.26.37, 82.98.86.179
- Empreintes des modèles de titres : tout titre de page contenant une combinaison de 世界杯 et 买球 ou 投注 ou 平台 doit être considéré comme conforme à cette campagne.
