近年来,随着互联网广告市场的高速发展,广告技术(AdTech)成为了数字经济的重要组成部分。然而,伴随繁荣而生的,还有各类恶意广告及相关网络犯罪活动。其中,威胁行为者"Vane Viper"利用惊人的网络规模和技术手段,成为了全球范围内极具危害性的恶意广告与广告欺诈网络的核心推动力量。据Infoblox与Guardio及Confiant联合发布的技术报告显示,Vane Viper过去一年中产生了高达一万亿的DNS查询量,覆盖了全球约一半的客户网络,其背后隐藏着广泛的恶意软件传播和广告欺诈活动。Vane Viper的出现折射出网络安全领域的复杂生态和威胁形态的演变,值得业界深入关注和研究。作为恶意广告供应链中的重要枢纽,Vane Viper不仅是恶意流量经纪人,更亲自运营多条欺诈广告活动。
该威胁组织通过庞大的被攻破网站网络,主要利用WordPress等平台的安全漏洞,搭建和扩展其恶意广告基础设施。这些被感染的网站往往被植入风险软件、间谍软件及广告软件,进而被用来传播恶意浏览器插件、虚假购物网站、成人内容页面、问卷调查骗局、假冒应用程序以及各种恶意软件。尤为引人关注的是,其中曾出现过名为Triada的Android恶意软件,显示其攻击范围不仅局限于PC端,也延伸至移动终端。Vane Viper的持续存在与其独特的持久化技术密切相关。该组织采用了浏览器推送通知权限滥用的方式,即使用户离开了最初访问的网页,恶意广告依然能够通过更改浏览器设置,持续向目标设备推送广告。这一策略主要依赖于Service Worker技术,即无界面的浏览器后台进程,实时监听事件并推送广告通知。
这种方法极大地增加了用户移动设备被广告骚扰的概率,也使得防御难度倍增。进一步的调查指出,Vane Viper背后的运营主体错综复杂,涉及多家壳公司及隐晦的所有权结构,有效规避法律追责。涉及的公司包括Monetag(被认定为PropellerAds子公司),PropellerAds本身又属于总部设于塞浦路斯的AdTech Holding控股集团。在域名和基础设施层面,Vane Viper共有约六万个域名组成其网络,绝大多数域名活跃期不足一个月,极少数域名却持续运营超过一千二百天,如omnatuor.com和propeller-tracking.com等。这些域名每月数以千计新注册,2024年10月达到了创纪录的3,500个,显示其扩张速度惊人。更令人震惊的是,Vane Viper所使用的域名约占自2023年以来URL Solutions(又称Pananames)批量注册域名的近一半,显示两者之间存在密切关系。
此外,Vane Viper疑似与Webzilla、XBT Holdings等公司及俄罗斯影响力操作"Doppelgänger"联系紧密,透露出这场大规模恶意广告活动背后的政治与商业交织。尽管如此,PropellerAds对此一直予以否认,坚称自己只是服务于广告主和发布商的自动化中介平台,并不支持或鼓励任何恶意广告行为。该公司在2025年9月24日发文称Infoblox的报告为"诽谤性",指控内容"不实且毫无根据",试图维护其商业形象。然而,安全研究机构与业界专家普遍认为,Vane Viper已不是单纯的网络犯罪组织,更多是一种伪装成广告技术平台的威胁实体。其利用流量分发系统(TDS)将各种威胁交付给终端用户,使得广告网络表面上的合法性成为掩护恶意行为的"合理否认"盾牌。面对如此庞大且隐秘的恶意广告生态,企业与个人用户必须加强防护意识。
网络攻击的复杂性与隐蔽性不断增加,传统基于单一终端防护的安全措施难以应对动态变换的威胁。企业应从网络层级出发,结合DNS安全、流量监控与异常行为分析,实现多层次的防御体系。用户则需警惕浏览器推送通知权限,一旦发现异常推送,及时关闭权限并清理相关数据。未来,随着广告技术的不断发展,合法广告平台与恶意广告网络的界限将愈加模糊。网络安全生态需要借助更先进的技术手段,如人工智能驱动的威胁检测、行为分析和自动化响应,打造全方位的安全防护体系。同时,加强国际合作,打击跨国网络犯罪,净化广告生态环境,也成为不可或缺的环节。
综上所述,Vane Viper运用庞大的DNS查询流量和高效的恶意广告策略,成功搭建起全球规模的网络恶意基础设施,威胁数字广告生态及广大用户的网络安全。对此,业界应持续关注其动态,推动技术与法律手段相结合,构建更安全的互联网环境。 。
