بازیگران تهدید پشت سرویس توزیع ترافیک VexTrio Viper با سایر سرویس‌های توزیع ترافیک (TDS) مانند Help TDS و Disposable TDS مرتبط هستند. این ارتباط نشان می‌دهد که این عملیات پیچیده سایبری در واقع یک شبکه گسترده برای توزیع محتوای مخرب است.

VexTrio گروهی از شرکت‌های تبلیغاتی مخرب است که کلاهبرداری‌ها و نرم‌افزارهای مضر را از طریق قالب‌های مختلف تبلیغاتی، از جمله لینک‌های هوشمند و اعلان‌های فشاری توزیع می‌کنند. این اطلاعات توسط شرکت Infoblox در گزارشی جامع منتشر شده است.

برخی از شرکت‌های تبلیغاتی مخرب تحت نظر VexTrio Viper شامل Los Pollos، Taco Loco و Adtrafico هستند. این شرکت‌ها شبکه‌های وابسته تجاری را اداره می‌کنند که بازیگران بدافزار را با “شرکای تبلیغاتی” متصل می‌کنند. این شرکا طرح‌های غیرقانونی مختلفی مانند کلاهبرداری کارت هدیه، برنامه‌های مخرب، سایت‌های فیشینگ و کلاهبرداری‌ها را ارائه می‌دهند.

این سیستم‌های توزیع ترافیک مخرب طراحی شده‌اند تا قربانیان را از طریق لینک‌های هوشمند یا پیشنهادات مستقیم به مقاصد نهایی هدایت کنند. Los Pollos با وعده پیشنهادات پردرآمد، توزیع‌کنندگان بدافزار را جذب می‌کند، در حالی که Taco Loco در کسب درآمد از اعلان‌های فشاری تخصص دارد و شرکای تبلیغاتی را استخدام می‌کند.

یکی از اجزای مهم این حملات، هک کردن وب‌سایت‌های وردپرس و تزریق کد مخرب است. این کد مسئول شروع زنجیره تغییر مسیر است که در نهایت بازدیدکنندگان را به زیرساخت کلاهبرداری VexTrio هدایت می‌کند. نمونه‌هایی از این تزریقات شامل Balada، DollyWay، Sign1 و کمپین‌های DNS TXT record هستند.

شرکت GoDaddy در گزارشی در مارس 2025 اعلام کرد که این اسکریپت‌ها بازدیدکنندگان سایت را از طریق شبکه‌های کارگزار ترافیک مرتبط با VexTrio به صفحات کلاهبرداری مختلف هدایت می‌کنند. VexTrio یکی از بزرگترین شبکه‌های وابسته سایبری شناخته شده است که از تکنیک‌های پیچیده DNS، سیستم‌های توزیع ترافیک و الگوریتم‌های تولید دامنه برای ارائه بدافزار و کلاهبرداری در شبکه‌های جهانی استفاده می‌کند.

عملیات VexTrio در اواسط نوامبر 2024 ضربه خورد. Qurium فاش کرد که شرکت تبلیغاتی سوئیسی-چک Los Pollos بخشی از VexTrio است. این افشاگری باعث شد Los Pollos کسب درآمد از لینک‌های فشاری خود را متوقف کند. این امر موجب مهاجرت گسترده شد و بازیگران تهدیدی که به شدت به شبکه Los Pollos وابسته بودند، به مقاصد تغییر مسیر جایگزین مانند Help TDS و Disposable TDS منتقل شدند.

تحلیل Infoblox از 4.5 میلیون پاسخ DNS TXT record از وب‌سایت‌های هک شده در یک دوره شش ماهه نشان داد که دامنه‌های بخشی از کمپین‌های DNS TXT record را می‌توان به دو مجموعه تقسیم کرد. هر مجموعه سرور فرماندهی و کنترل (C2) مجزای خود را دارد.

شرکت اعلام کرد که هر دو سرور در زیرساخت‌های مرتبط با روسیه میزبانی می‌شدند، اما نه میزبانی آنها و نه پاسخ‌های TXT آنها همپوشانی نداشتند. هر مجموعه ساختارهای URL تغییر مسیر متفاوتی را حفظ می‌کرد، حتی اگر هر دو در ابتدا به VexTrio و سپس به Help TDS منتهی می‌شدند.

شواهد بیشتر نشان داده که Help TDS و Disposable TDS یکی هستند و این سرویس‌ها تا نوامبر 2024 رابطه انحصاری با VexTrio داشتند. Help TDS که در گذشته ترافیک را به دامنه‌های VexTrio هدایت می‌کرد، اکنون به Monetizer تغییر مسیر داده است. Monetizer یک پلتفرم کسب درآمد است که از فناوری TDS برای اتصال ترافیک وب از ناشران وابسته به تبلیغ‌کنندگان استفاده می‌کند.

Infoblox گفت که Help TDS ارتباط قوی با روسیه دارد و میزبانی و ثبت دامنه اغلب از طریق نهادهای روسی انجام می‌شود. این شرکت اپراتورها را احتمالاً مستقل توصیف کرد. Help TDS عملکرد کامل TDSهای VexTrio را ندارد و هیچ رابطه تجاری آشکاری فراتر از ارتباطات عجیبش با VexTrio ندارد.

رنه برتون، معاون اطلاعات تهدید در Infoblox، گفت که Help TDS به طور انحصاری به Monetizer تغییر مسیر می‌دهد. برتون افزود که رابطه خاصی بین Help TDS و VexTrio وجود دارد، به این معنی که احتمالاً در هماهنگی هستند. آنها نرم‌افزار مشترک دارند، اما رابطه بین VexTrio و Monetizer مشخص نیست. به عبارت دیگر، انتقال به Help TDS در واقع انتقال به یک TDS جدید نیست.

VexTrio یکی از بسیاری از TDSهایی است که به عنوان شرکت‌های تبلیغاتی تجاری شناخته شده‌اند. سایر شرکت‌ها شامل Partners House، BroPush، RichAds، Admeking و RexPush هستند. بسیاری از اینها برای خدمات اعلان فشاری طراحی شده‌اند و از Google Firebase Cloud Messaging یا اسکریپت‌های توسعه‌یافته سفارشی مبتنی بر Push API برای توزیع لینک‌های محتوای مخرب از طریق اعلان‌های فشاری استفاده می‌کنند.

شرکت گفت که صدها هزار وب‌سایت هک شده در سراسر جهان هر سال قربانیان را به شبکه پیچیده VexTrio و TDSهای وابسته به VexTrio هدایت می‌کنند. VexTrio و سایر شرکت‌های تبلیغاتی وابسته می‌دانند که بازیگران بدافزار چه کسانی هستند، یا حداقل اطلاعات کافی برای ردیابی آنها دارند. بسیاری از شرکت‌ها در کشورهایی ثبت شده‌اند که نیازمند درجاتی از “شناخت مشتری” (KYC) هستند، اما حتی بدون این الزامات، ناشران وابسته توسط مدیران مشتری خود بررسی می‌شوند.