كشفت تحليلات متعمقة أجرتها Infoblox بالتعاون مع Guardio وConfiant أن جهة تهديد تُعرف باسم Vane Viper (المعروفة أيضاً باسم Omnatuor) تدير بنية تحتية إعلانية خبيثة تُوظّف تقنيات الإعلان البرمجي (adtech) لتمرير حملات مالفيرتايزنغ (malvertising)، واحتيال الإعلانات (ad fraud)، ونشر البرمجيات الخبيثة على مدار عقدٍ من الزمن. بدلًا من العمل كمجموعة قرصنة تقليدية فقط، تستخدم Vane Viper هياكل شركات واجهة وشبكة معقّدة لتفادي المساءلة، وتقوم بوساطة أو إدارة حملات تؤدي إلى تنزيلات برامج ضارة ومواقع احتيال ومتاجر مزيفة وإضافات متصفح خبيثة.
تقنيات الإصرار والتوزيع الخبيثة
من بين التكتيكات اللافتة استغلال أذونات إشعارات الدفع (push notifications) عبر المتصفحات، ما يتيح استمرار عرض الإعلانات حتى بعد مغادرة المستخدم للموقع الأصلي عن طريق استغلال service workers التي تبقي عمليةمتصفح “رأسية” تعمل في الخلفية. كما وظفت الشبكة تقنيات ClickFix-style لقرصنة سلاسل التوريد الاجتماعي وتحويل زوار المواقع إلى امتدادات ضارة أو صفحات تنزيل برامج مشبوهة أو صفحات تسوق وهمية. تقارير سابقة أكدت ارتباط حملات مثل DeceptionAds بمنشورات بنيت على بنية Vane Viper، مع إشارات إلى شركة تُدعى Monetag مرتبطة بـ PropellerAds.
حجم البنية وتوسع النطاق
تقدّر Infoblox أن نشاط Vane Viper أنتج نحو تريليون استعلام DNS خلال العام الماضي في نحو نصف شبكات عملائها. تُشير التحليلات إلى وجود نحو 60,000 نطاق ضمن بنيتها، معظمها يعيش لفترة قصيرة (أقل من شهر)، بينما تبقى بعض النطاقات فاعلة لأكثر من 1,200 يوماً — مع أمثلة مثل omnatuor[.]com وpropeller-tracking[.]com. تسجّل العمليات تسجيل أعداد هائلة من النطاقات شهريًا (بلغ ذروة 3,500 نطاق في أكتوبر 2024)، وتمثل مجالات Vane Viper نسبة كبيرة من تسجيلات “الدفعات بالجملة” عبر شركات تسجيل مثل URL Solutions.
علاقات تجارية وشبهات امتدادات المسؤولية
تكشف التحليلات عن ارتباطات بنيوية مع شركات مثل URL Solutions (Pananames)، Webzilla، وXBT Holdings، ووجود شركات أخرى ضمن مظلة AdTech Holding تشمل PropellerAds وProPushMe وZeydoo وNotix وAdex. بينما تنفي PropellerAds ضلوعها، تصفها Infoblox بأنها أكثر من مجرد وسيط آلي؛ إذ تعمل فعليًا كمنصة تُسهل توزيع مخاطرة واسعة النطاق. آثار هذا النشاط تشمل توجيه الزوار إلى مجموعات تهديد توزع برمجيات مثل Triada على أجهزة أندرويد، مواقع استغلال الثغرات، ومحتوى خبيث آخر.
