Les acteurs de la menace derrière le service de distribution de trafic VexTrio Viper (TDS) ont été liés à d’autres services TDS comme Help TDS et Disposable TDS, indiquant que l’opération cybercriminelle sophistiquée est une entreprise tentaculaire qui lui est propre et qui est conçue pour distribuer du contenu malveillant.

« VexTrio est un groupe d’entreprises adtech malveillantes qui distribuent des escroqueries et des logiciels nuisibles via différents formats publicitaires, notamment des liens intelligents et des notifications push », a déclaré Infoblox dans un rapport approfondi partagé avec The Hacker News.

Parmi les entreprises adtech malveillantes de VexTrio Viper figurent Los Pollos, Taco Loco et Adtrafico. Ces entreprises exploitent un réseau d’affiliation commerciale reliant les acteurs malveillants dont les sites web attirent des utilisateurs sans méfiance et les « affiliés publicitaires » proposant diverses formes de stratagèmes illicites, comme la fraude aux cartes-cadeaux, les applications malveillantes, les sites de phishing et les arnaques.

En d’autres termes, ces systèmes de distribution de trafic malveillants sont conçus pour rediriger les victimes vers leurs destinations via un SmartLink ou une offre directe. Los Pollos, selon le cabinet de renseignement sur les menaces DNS, recrute des distributeurs de logiciels malveillants (alias éditeurs affiliés) en leur promettant des offres très rémunératrices, tandis que Taco Loco se spécialise dans la monétisation push et recrute des affiliés publicitaires.

Un autre élément notable de ces attaques est la compromission de sites WordPress pour injecter du code malveillant responsable du lancement de la chaîne de redirection, conduisant finalement les visiteurs vers l’infrastructure frauduleuse de VexTrio. Parmi ces injections, on peut citer Balada , DollyWay , Sign1 et les campagnes d’enregistrement DNS TXT .

« Ces scripts redirigent les visiteurs du site vers diverses pages frauduleuses via des réseaux de courtiers en trafic associés à VexTrio, l’un des plus grands réseaux d’affiliation cybercriminels connus qui exploite des techniques DNS sophistiquées, des systèmes de distribution du trafic et des algorithmes de génération de domaine pour diffuser des logiciels malveillants et des escroqueries sur les réseaux mondiaux », a noté GoDaddy dans un rapport publié en mars 2025.

Les activités de VexTrio ont subi un coup dur vers la mi-novembre 2024 après que Qurium a révélé que l’entreprise adtech helvético-tchèque Los Pollos faisait partie de VexTrio, obligeant Los Pollos à cesser la monétisation de ses liens push. Cela a déclenché un exode, poussant les acteurs malveillants qui dépendaient fortement du réseau Los Pollos à se tourner vers des destinations de redirection alternatives telles que Help TDS et Disposable TDS.

Changements de comportement au fil du temps à partir des deux ensembles C2 indépendants

L’analyse par Infoblox de 4,5 millions de réponses d’enregistrement DNS TXT provenant de sites Web compromis sur une période de six mois a révélé que les domaines qui faisaient partie des campagnes d’enregistrement DNS TXT pouvaient être classés en deux ensembles, chacun avec son propre serveur de commande et de contrôle (C2) distinct.

« Les deux serveurs étaient hébergés dans une infrastructure connectée en Russie, mais ni leur hébergement ni leurs réponses TXT ne se chevauchaient », a déclaré l’entreprise. « Chaque ensemble conservait des structures d’URL de redirection différentes, même s’ils menaient initialement à VexTrio, puis au Help TDS. »

D’autres preuves ont révélé que Help TDS et Disposable TDS sont une seule et même société et que les services ont bénéficié d’une « relation exclusive » avec VexTrio jusqu’en novembre 2024. Help TDS, qui redirigeait historiquement le trafic vers les domaines VexTrio, est depuis passé à Monetizer, une plateforme de monétisation qui utilise la technologie TDS pour connecter le trafic Web des affiliés des éditeurs aux annonceurs.

« Le TDS Help a un fort lien avec la Russie, l’hébergement et l’enregistrement de domaines étant souvent effectués par des entités russes », a déclaré Infoblox, décrivant les opérateurs comme potentiellement indépendants. « Il ne dispose pas des fonctionnalités complètes des TDS VexTrio et n’a aucun lien commercial évident, hormis ses liens mystérieux avec VexTrio. »

Renée Burton, vice-présidente du renseignement sur les menaces chez Infoblox, a déclaré à The Hacker News que Help TDS redirigeait exclusivement vers Monetizer. « Nous savons qu’il existe une relation privilégiée entre Help TDS et VexTrio, ce qui signifie qu’ils travaillent probablement en coordination », a ajouté Burton. « Ils partagent des logiciels. [Mais] nous ne connaissons pas la relation entre VexTrio et Monetizer. Autrement dit, migrer vers Help TDS ne signifie probablement pas migrer vers un nouveau TDS. »

VexTrio fait partie des nombreuses TDS qui se sont révélées être des entreprises de technologie publicitaire commerciales, les autres étant Partners House, BroPush, RichAds, Admeking et RexPush. Nombre d’entre elles sont axées sur les services de notifications push en utilisant Google Firebase Cloud Messaging (FCM) ou des scripts personnalisés basés sur l’API Push pour diffuser des liens vers des contenus malveillants via des notifications push.

« Chaque année, des centaines de milliers de sites Web compromis dans le monde redirigent leurs victimes vers le réseau complexe de VexTrio et des TDS affiliés à VexTrio », a déclaré la société.

VexTrio et les autres agences de publicité affiliées savent qui sont les auteurs de malwares, ou du moins disposent de suffisamment d’informations pour les localiser. Nombre de ces entreprises sont enregistrées dans des pays exigeant une certaine connaissance du client (KYC), mais même sans ces exigences, les affiliés éditeurs sont contrôlés par leurs responsables clientèle.