VexTrio网络犯罪团伙由合法广告技术公司运营
新技术研究表明,恶意流量分发系统(TDS)并非由“戴兜帽的黑客”运营,而是由一系列在商业数字广告行业运营的公司操控。
Rob Wright, Dark Reading高级新闻总监
2025年8月6日
11分钟阅读
来源:Thawatchai Chawong via Alamy Stock Photo
黑帽大会美国站 - 拉斯维加斯 - 8月6日星期三 — 多年来,安全研究人员和威胁分析师认为,互联网上的大部分恶意流量分发系统(TDS)活动源于普通网络犯罪分子。但新研究揭示,罪魁祸首是数字广告行业中一系列看似合法的公司网络。
在今日拉斯维加斯的黑帽大会上,网络安全供应商Infoblox的研究人员在题为“这里没有兜帽:广告技术中的有组织犯罪”的会议中讨论了他们的发现。该研究聚焦于VexTrio,这是一个广泛的网络犯罪操作,Infoblox去年首次详细披露。
VexTrio使用TDS劫持来自受损或欺骗网站的Web用户,并将毫无戒心的受害者重定向到各种恶意目的地,从技术支持诈骗和虚假更新到网络钓鱼域名和漏洞利用工具包。该操作使用自己的地下TDS以及其他平台(如Keitaro等商业平台),为“联盟”操作(如恶意软件框架SocGholish和ClearFake)持续供应受害者。
最初,Infoblox研究人员将VexTrio追踪为单个恶意TDS操作,将潜在受害者路由到一系列约会和成人内容诈骗。但进一步调查发现了60多个联盟和至少70,000个恶意域名。
相关:60个RubyGems包从恼人的垃圾邮件发送者那里窃取数据
Infoblox在黑帽会议中详细说明的最新研究揭示了TDS操作的更多层次,并显示VexTrio远远超出网络犯罪领域,进入合法商业广告技术及其他领域。
VexTrio的网络威胁活动轨迹
Infoblox威胁情报副总裁Renée Burton表示,恶意广告技术世界是网络安全中最被忽视的领域之一,尽管研究人员在识别和归因威胁行为者方面开始取得进展,但他们对活动的理解仍落后于最新活动。
举例来说:Burton领导了黑帽会议并在会前与Dark Reading交谈,她表示直到2020年左右,Infoblox才确定过去三到四年中来自互联网上受损网站的大部分被劫持流量都流向同一目的地。事实上,到2024年,GoDaddy观察到的40%受损网站导致VexTrio。
这种威胁活动的公式相当简单:威胁行为者通过利用平台或相关工具或插件中的漏洞控制网站(通常在WordPress上)。一旦建立对网站的控制,威胁行为者使用TDS不仅重定向网站用户,还根据用户的地理位置、终端设备和其他技术规格“过滤”流量。他们还可以过滤掉反恶意软件软件和沙盒环境,以绕过研究人员的系统并避免检测。
相关:来自APT行为者的数据转储提供攻击者能力线索
多年来,信息安全社区认为VexTrio是使用地下工具和域名的传统网络犯罪组织。但这一传统观念在去年秋天发生了巨大变化,当时Infoblox和其他两家公司——Web安全公司Sucuri和为压制国家媒体提供安全托管和威胁研究的组织Qurium——同时得出了相同结论。
“我们三人都意识到,‘等一下——这些恶意链接实际上是商业链接,’”Burton说。“这简直是一个令人震惊的发现,不仅是VexTrio,我们追踪的许多其他TDS也不是Scattered Spider或互联网上的年轻人。它们实际上是广告技术公司。”
Los Pollos的名字显然是对电视剧“绝命毒师”的致敬。
这些公司独立发现,连接到VexTrio TDS的几个诈骗相关URL由一家名为Los Pollos的公司拥有,这显然是对热门电视剧“绝命毒师”的致敬。Los Pollos表面上总部位于瑞士,作为联盟营销公司运营,旨在帮助客户通过网站流量获利。
相关:Silver Fox APT模糊了间谍活动与网络犯罪之间的界限
但该公司自豪地吹嘘与广告技术领域的“领先品牌”合作,这些品牌有红旗和网络犯罪滥用的历史,包括Propeller Ads。根据这些公司以及GoDaddy的研究人员的说法,Los Pollos作为VexTrio和恶意广告活动(如DollyWay)的流量经纪人。
VexTrio背后的广告技术公司
Qurium研究人员调查了Los Pollos,发现它只是冰山一角;还有许多其他相互关联的广告技术公司与VexTrio有关,包括TacoLoco、Adtrafico和Teknology SA。Qurium的报告将这些组织与Kehr[.]io联系起来,这是一个基于俄罗斯的TDS,推动了被追踪为“Doppleganger”的俄罗斯虚假信息活动。
也许更重要的是,Qurium研究人员发现Los Pollos、TacoLoco和Adtrafico与一家更大的捷克公司(前身为Adspro Group,现为AimedGlobal)有关,该公司使用Teknology SA进行基础设施。团队还将这些广告技术公司追踪到其他瑞士公司ByteCore AG和SkyForge Digital AG,这些公司由Teknology SA的所有者Giulio Vittorio Leonardo Cerutti运营。
在Qurium的报告之后,Infoblox研究人员开始提取商业记录、DNS和域名注册记录、社交媒体帖子以及其他与广告技术公司相关的数据,并发现了与VexTrio相关的更多商业实体层次。它还揭示了一个内部圈子,他们已经合作多年。
“我们对他们的了解比他们自己还多,”Burton说。
根据与黑帽会议同时发布的VexTrio广泛的三部分报告,一群意大利商人参与了一家名为Tekka Group的控股公司旗下的一系列实体,包括一家名为Crownstone LLC的美国空壳公司,该公司涉嫌垃圾邮件操作。除了Cerutti,Infoblox的报告还命名了Guilio Lingua、Matteo Costa和Marco Rufa作为Tekka相关集团的成员。
该集团成员于2004年出现,在纸面上看起来不像骗子或网络犯罪分子——恰恰相反。几人拥有伦敦经济学院、博科尼大学和其他顶尖学校的商业学位。但Infoblox研究人员分析了该集团的互联网焦点业务集合,主要是早期在线约会网站,并发现了红旗历史,包括诈骗报告、垃圾邮件投诉和“可疑域名的模式”。
根据报告,Cerutti于2015年进入画面。Infoblox研究人员表示,目前尚不清楚Cerutti如何遇到集团中的其他个人,但他的到来与Tekka Group的转变同时发生,该集团很快在瑞士卢加诺建立了一系列“令人眼花缭乱的微型公司”。
Infoblox确定了数十家与VexTrio背后疑似关键人物相关的公司。
2020年,Tekka Group与AdsPro Group的Los Pollos联手,后者由三名讲俄语的个人——Igor Voronin、Andrew Kunitsa和Dzmitry Laptsevich——控制,他们也担任AdsPro的董事会成员。集团中的另一个关键人物是AdsPro联合创始人兼首席运营官Kroum Vassilev,他是一名保加利亚-加拿大公民和企业家,是多家公司(如Profine Energy)的管理合伙人。
两个集团在卢加诺合并了他们的操作,VexTrio的数据中心位于此地,融合了诈骗操作和流量分发计划以最大化收入。根据报告,八名核心人物和100多家公司创建了一个庞大的看似合法的商业实体网络,混淆了恶意活动。
“合并创建了一套强大的商业实体,触及广告技术行业的每个部分,”报告称。“与黑帽的关系巩固了他们在恶意流量分发中的主导地位。”
滥用广告技术生态系统
Infoblox指出,Cerutti的意大利合作伙伴显然在2001年放弃了对VexTrio操作的控制,尽管原因不明。Burton表示,Cerutti仍然与商业实体有关,连同讲俄语的东欧个人,充当操作的“前台人物”。
根据网络安全记者Brian Krebs的报告,Cerutti强烈否认参与任何VexTrio活动,并先发制人地威胁起诉Krebs诽谤。
Infoblox的报告指出,研究人员已经确定了Tekka和AdsPro相关公司的许多其他执行团队和高级职员成员,但他们选择不命名,因为不清楚他们对VexTrio活动的了解程度。
“VexTrio在全球雇佣了几百人。目前尚不清楚普通VexTrio员工对真实商业模式的了解程度,”报告说。“这些公司倾向于雇佣很多非常年轻的女性担任面向公众的角色,并似乎从东欧雇佣开发承包商。”
Infoblox表示,使用商业实体运行流量分发计划为威胁行为者带来了巨大好处,无论是从操作角度还是避免信息安全社区和执法部门的审查。例如,Los Pollos成为许多威胁行为者的“宠儿”,他们使用该公司的智能链接将流量驱动到恶意域名。
智能链接或“直接优惠”是联盟广告商和发布商的推荐链接,将用户重定向到特定内容或目的地,无论用户的设备或地理区域如何。广告技术公司或每次行动成本(CPA)网络只有在用户采取所需行动(称为“转化”)时才会从联盟获得报酬,例如提供电子邮件地址或进行购买。Los Pollos在2024年声称拥有200,000个联盟和每月超过20亿独立用户,以及300万次转化。
“虽然Los Pollos可能夸大了他们的联盟和独立用户数量,但他们的影响是显著的,”报告说。“支持其核心服务的域名多年来未被注意,许多变得如此流行,以至于最终进入安全供应商的自动生成‘允许列表’。一些VexTrio域名在一个月内上升到前10,000名。”
VexTrio的网络犯罪未来
在某些方面,这是一个完美的系统。威胁行为者像合法客户一样向广告技术公司付款,通过TDS获得稳定的被劫持流量和毫无戒心的受害者,用于各种威胁,从加密货币诈骗和虚假验证码方案到勒索软件攻击。
同时,广告技术公司作为有效的商业实体运营,从真实的联盟广告商获得收入,并保持合法性的外表,帮助他们避免网络安全公司的严重惩罚,如全面域名封锁。涉及的实体越多,重定向链就越复杂,使得威胁分析师更难追踪活动,消费者和企业员工也更难避免。
Burton表示,这种安排对VexTrio操作员和重定向链末端的威胁行为者来说极其有利可图。报告指出,VexTrio中的关键人物过着奢侈的生活方式,在社交媒体上吹嘘昂贵的汽车和其他奢侈品。
“有很多钱。他们过着非常好的生活,”Burton说。
但VexTrio的方法也有缺点。例如,Burton表示,操作员使用了他们的真实姓名,尽管创建了全球公司控股的“复杂壳游戏”,但留下了记录痕迹。她说,这使得研究人员能够拉取不同的线索来解开操作并识别其背后的各个部分和人员。
尽管Cerutti否认参与VexTrio,但Infoblox还发现了证据, implicating几家广告技术公司 knowingly engaging in “黑帽流量”,或来自恶意来源的被劫持流量。例如,在黑帽世界(一个流行的黑帽流量和广告活动论坛)上,Los Pollos的官方账户奇怪而无耻地承认作为“黑帽CPA”运营。
“毫无疑问,VexTrio共谋网络犯罪,”Infoblox报告直截了当地说。
而且还有更多。Infoblox研究人员认为,还有更多广告技术实体与VexTrio有关,无论是作为合作伙伴组织还是AdsPro Group旗下的公司实体。此外,研究人员继续分析与广告技术之外数十家其他公司的联系,这些公司似乎与VexTrio操作无关,并且“涉及非常大规模的金融交易”,根据报告。
“例如,我们困惑于一家德国公司Profine Energy GmbH如何最终与Kroum Vassilev(通过Enevlo EEOD)达成协议创建Profine Energy保加利亚,”报告指出。“Kroum不仅是自称的AdsPro和Los Pollos联合创始人,而且在我们可以说非能源行业的行业中有很长的历史。”
Burton表示,VexTrio无疑将改变其基础设施并删除任何在线证据 implicating公司网络;这是操作员在去年11月Qurium报告之后所做的。例如,AdsPro Group设法让互联网档案馆删除了从其域名存档的几个页面。但她相信Infoblox及其合作伙伴已经积累了足够的证据来 disrupt该操作。
“我希望这将是一个分水岭时刻,”Burton说。