Vault Viper est un acteur de menace sophistiqué associé à la criminalité organisée en Asie du Sud-Est. Il déploie un navigateur personnalisé pour faciliter les jeux en ligne illégaux, l'exfiltration de données et le blanchiment d'argent. Sa vaste infrastructure DNS soutient la fraude à l'échelle mondiale.

Pourquoi est-ce important ? C'est notre premier rapport sur l'usage d'un navigateur personnalisé associé à une infrastructure DNS pour le cybercrime et la diffusion de menaces.

Detour Dog est un acteur adtech malveillant qui exploite les enregistrements DNS TXT pour rediriger conditionnellement les victimes depuis des dizaines de milliers de sites web compromis ou pour récupérer du contenu distant à exécuter. Detour Dog a été affilié à Help TDS, Los Pollos et Monetizer, et s'est associé à Hive0145 pour livrer le malware Strela Stealer.

Pourquoi est-ce important ? Detour Dog relie les TDS aux C2 de malware en exploitant un système de relais qui redirige dynamiquement les menaces via DNS — une technique à la fois rare et furtive.

Vane Viper est un écosystème AdTech malveillant orchestré autour d’AdTech Holdings, un groupe russe basé à Chypre, et de ses filiales. Le groupe exploite les notifications push pour maintenir une persistance sur les appareils et utilise un TDS pour rediriger le trafic vers divers contenus malveillants.

Pourquoi est-ce important ? Cette recherche identifie et cartographie les individus et organisations qui composent ce vaste réseau TDS et ses affiliés, dont la plateforme phare PropellerAds.

Hazy Hawk est un acteur de menace spécialisé en DNS qui détourne les enregistrements CNAME abandonnés, pointant vers des ressources cloud inutilisées au sein de grandes entreprises nationales. L’acteur héberge des URL d’arnaque et de malware sous ces sous-domaines de confiance, en exploitant des TDS et l’abus de « notifications push » pour atteindre ses victimes.

Pourquoi est-ce important ? Il s'agit du premier rapport sur un acteur détournant des enregistrements CNAME en suspens dans des ressources cloud abandonnées.

Reckless Rabbit est un opérateur d'escroquerie sophistiqué qui exploite des publicités sur les réseaux sociaux, de fausses recommandations de célébrités et des pages de destination localisées (par langue) pour attirer les victimes dans des fraudes à l'investissement.

Il utilise des RDGA, du DNS générique et un masquage basé sur TDS pour échapper à la détection, évoluer rapidement et rediriger les cibles selon leur emplacement ou leur appareil, rendant le traçage ou le blocage difficiles.

Ruthless Rabbit, actif depuis fin 2022, est une opération d'escroquerie à l'investissement pilotée par DNS ciblant l'Europe de l'Est.

Il utilise des algorithmes de génération de domaines enregistrés (RDGA) pour pré-enregistrer des milliers de domaines frauduleux, ainsi que des services DNS génériques et de dissimulation afin d’écarter les robots et de rediriger les utilisateurs légitimes vers de fausses "plateformes de profit".

Morphing Meerkat exploite une plateforme de phishing-as-a-service (PhaaS). Cet acteur utilise les enregistrements DNS MX pour identifier le fournisseur de messagerie de la victime et générer dynamiquement de fausses pages de connexion. Morphing Meerkat exploite des sites WordPress compromis ainsi que des vulnérabilités de redirection ouvertes sur des serveurs AdTech.

Hasty Hawk détourne des domaines présentant une délégation de serveur de noms défaillante, dont les fournisseurs DNS Autoritaire sont vulnérables, puis les exploite pour des campagnes de phishing.

Pourquoi est-ce important ? L'acteur détourne des domaines vulnérables via des attaques « Sitting Ducks » et a mené des campagnes de phishing en usurpant des pages DHL ainsi que de faux sites de dons.

Depuis février 2023, un acteur de menace motivé par l’argent détourne des milliers de domaines pour des stratagèmes de fraude à l’investissement. Ces domaines détournés sont intégrés dans des publicités Facebook éphémères ciblant des utilisateurs dans plus de 30 langues sur plusieurs continents.

Pourquoi est-ce important ? Les domaines piratés sont repris à l'aide du vecteur d'attaque « Sitting Ducks » et sont utilisés à chaque étape des campagnes des acteurs.

Un syndicat chinois du crime organisé qui a conçu et exploite une suite technologique qui est une chaîne d'approvisionnement complète en matière de cybercriminalité : elle se compose de logiciels, de configurations de Domain Name System (DNS), d'hébergement de sites web, de mécanismes de paiement, d'applications mobiles, et bien d'autres choses encore.

Pourquoi est-ce important ? Cette recherche permet d'établir un lien entre de nombreux témoignages de journalistes et de défenseurs des droits de l'homme et un seul et unique réseau de criminalité organisée.

Un acteur rusé abusant des résolveurs ouverts dans le monde entier avec des enregistrements MX et déclenchant l'action mystérieuse du Great Firewall de Chine.

Pourquoi est-ce important ? C'est la première documentation des enregistrements DNS MX modifiés par le Great Firewall.

Un acteur persistant de fraudes en matière d'investissement qui utilise les enregistrements DNS CNAME comme système de distribution du trafic (TDS) pour contrôler l'accès à ses contenus malveillants diffusés par le biais de publicités sur Facebook.

Pourquoi est-ce important ? C'est la première description de l’utilisation des enregistrements DNS CNAME par les acteurs de menace pour contrôler et diriger le contenu des utilisateurs.

Un service de raccourcissement de liens malveillant utilisé par des criminels pour cibler les consommateurs du monde entier. Cet acteur a réussi à déjouer les contrôles de confidentialité pour le usTLD avant d'être démasqué par Infoblox.

Pourquoi est-ce important ? C'est la première description d'un raccourcisseur de liens malveillant dans le secteur.

Un acteur de phishing qui dérobe les identifiants des consommateurs en Europe, aux États-Unis et en Australie en utilisant des domaines similaires à ceux des institutions financières et des agences fiscales gouvernementales. Anciennement connu sous le nom d'Open Tangle.

Pourquoi est-ce important ? Il s’agit du premier signalement d’un acteur de domaine similaire dédié.

Un ensemble d'outils malveillants DNS C2 pour les États-nations. Il a été confirmé qu'il s'agissait d'une variante avancée de Pupy RAT, mais les fournisseurs de sécurité russes ont par la suite affirmé que Decoy Dog avait été utilisé pour perturber des infrastructures critiques russes.

Pourquoi est-ce important ? C'est la première découverte et caractérisation d'un malware C2 uniquement à partir du DNS.

Le système de distribution du trafic (TDS) le plus ancien connu dans le secteur avec le plus grand nombre d’affiliés criminels, négociant du trafic pour d’autres tout en diffusant leurs propres campagnes malveillantes.

Pourquoi est-ce important ? C'est la première identification d'un TDS à grande échelle découvert par le biais du DNS et à l'aide d'un algorithme de génération de domaines par dictionnaire (DDGA).