揭秘VexTrio恶意流量分发系统的隐蔽基础设施

基础设施

为运营可靠的流量分发系统（TDS），基础设施必须灵活且能随时迁移。由于VexTrio的TDS大部分隐藏在Cloudflare和透明代理之后，发现Los Pollos作为VexTrio URL来源这一突破让我们能够解开大部分基础设施。

在浏览被动DNS数据时，我们注意到www.lospollos[.]com的A记录指向AS5398中的IP地址。我们先前已确定AS5398几乎专门用于VexTrio，但对范围内一些看似合法的企业感到困惑。通过与Qurium合作调查公司记录，我们了解到这些看似无辜的机构与VexTrio关键人物有关联。

进一步挖掘AS203639和AS5398的边界网关协议（BGP）公告，我们发现了多个前缀和大量被动DNS，揭示了他们的基础设施运营。图2显示了通过BGP和DNS分析发现的众多相关域名。

随着继续探索被动DNS集合，VexTrio的TDS基础设施变得可见。我们能够识别他们的诈骗网站、CDN、DevOps依赖项，甚至他们使用的托管服务提供商。令我们惊讶的是，这个全球运营仅使用几百个虚拟机，分布在一个数据中心和少数托管提供商中。

DevOps

为了扩展能够处理每日数十亿交易的TDS，自动化是必须的。DNS主机名揭示了Hashi Corp软件（Terraform、Consul和Vault）、Kubernetes、Proxmox、Gitlab和Argo的使用，以及其他流行的自动化工具。将这些技术与大量nginx、HAProxy、邮件大炮和CDN结合，分布在数据中心、Hetzner、AlexHost和Cloudflare中，就构建了一个有弹性的TDS。图3显示了讲述这个故事的子域名列表。

我们还发现VexTrio使用PowerDNS，这是一种流行且高度先进的开源DNS软件。由于其业务性质，直接用于诈骗和垃圾邮件的域名不断被报告给注册商滥用部门或在我们自己的保护性DNS系统中被阻止，VexTrio需要能够处理快速区域更改的DNS软件：PowerDNS提供了这一功能。

图4显示了截至2025年7月与holacode[.]tech相关的核心VexTrio基础设施配置，包括域名和托管。

Binom追踪概览

追踪是广告技术行业的关键组成部分。VexTrio不仅运营广告网络，还是其他广告技术网络的发布和广告联盟。Los Pollos智能链接不仅可能将流量传递到落地页，还可能传递到另一个广告网络。

VexTrio通过LosPollos推广多个广告追踪器，包括Binom、Keitaro、Voluum和AdsBridge。我们的分析显示，VexTrio使用这些公司的自托管商业追踪软件来监控合作伙伴网络中的活动。

Binom是VexTrio广泛使用的自托管追踪器。当Binom服务器注册访问者时，它会记录每次点击、展示和转化。这些详细记录有几个用途：它们允许VexTrio准确计算向流量来源的支付、微调广告活动，并防御联盟网络的虚高账单。

在2024年秋季，我们通过访问受感染网站自我感染移动设备，然后捕获了几个月内产生的推送通知流量。如图5所示，点击我们收到的一个通知将我们引导到RollerAd TDS，该TDS捕获了我们的各种信息，然后RollerAds将我们的数据传递给专用于Hey Kraken!的Binom服务器，最后Hey Kraken!使用我们的技术和行为详细信息提供防病毒诈骗。

VexTrio将其Binom追踪服务器专用于两个IP地址。截至2025年7月，这些服务器上配置了78个唯一域名，被动DNS中记录了几百万次A记录查询，可能只是真实总网络流量的一小部分。图6显示了按注册商和相关顶级域名分组的追踪器域名的树状图。

VexTrio不仅将Binom用于广告分析，还用于将受害者引导至恶意落地页。VexTrio开发人员配置了Binom追踪器规则，以便他们可以根据用户资料将用户路由到定制的诈骗页面。与Binom追踪的IP地址类似，我们已确定VexTrio的Binom落地页有两个专用服务器。图7显示了在Hetzner和Petersburg Internet Network Ltd管理的IP上的55个唯一落地页域名。

隐藏能力

虽然VexTrio使用追踪器隐藏部分活动，但他们也使用专门的隐藏工具，特别是在社交媒体活动中。VexTrio使用的主要隐藏工具称为IMKLO；该软件的主要开发者之一是Dmitri Jesipow，他也是IM GROUP的CEO和创始人（见图8）。该组织开发并销售多个程序，旨在帮助伪装恶意广告以逃避安全系统的检测。

网络中的紧急关闭开关

VexTrio的互联网基础设施庞大且高度异构，显示其域名、技术和网络服务提供商选择中各种命名约定的广泛多样性。这为安全社区的威胁分析和归因工作设置了天然障碍。然而，与任何其他大型网络一样，VexTrio也需要一定程度的集中管理来协调和控制其运营。我们确定他们的一些CDN域名对垂直活动至关重要，如果不可用，大部分空间将变得无法操作。

因此，VexTrio为这些关键资源分配了额外预算。例如，他们的一个CDN域名imghst-de[.]com使用Cloudflare的CDN并受其代理服务保护（见图9）。我们怀疑该域名的账户注册了Cloudflare Pro计划，因为它接收大量DNS查询。

我们还确定了一个未具名的VexTrio联盟，该联盟五年来一直在运营一个非常大的约会诈骗活动。这些活动的生命线是八个CDN域名，它们向受害者提供操作关键资源。CDN返回负责根据受害者浏览器偏好语言动态加载文本的JavaScript、推送通知订阅功能、劫持浏览器后退按钮以及其他文件资源，以便受害者客户端正确加载诈骗内容。

尽管CDN已使用多年，但它们在VirusTotal等防病毒引擎或威胁情报平台中的检测率极低或为零。如图11所示，VexTrio的CDN imghst-de[.]com仅获得一个VirusTotal标记——尽管它在网络流量方面排名前10,000网站。

使用Infoblox的DNS流行度指数，我们根据CDN端点域名的流行度进行了排名。利用在2025年6月13日至7月13日期间收集的DNS流量，我们确定了它们在那30天窗口内达到的流行度水平。结果令人震惊。VexTrio的CDN域名imghst-de[.]com与土库曼斯坦的Google搜索引擎一样受欢迎，并且比世界上使用最广泛的开源VPN协议之一OpenVPN更受欢迎。这意味着VexTrio的网络可以在几天内覆盖数百万用户，为威胁行为者提供了分发恶意内容的有力渠道。我们的数据与Tranco流行互联网域名排名一致。图12比较了imghst-de[.]com和jmp-assets[.]com与熟悉家喻户晓网站的Tranco位置。表1提供了VexTrio和一个主要联盟使用的CDN域名列表。