Infoblox Threat Intel

Vacant Viper は「Sitting Ducks」と呼ばれる DNS の攻撃ベクトルを用い、レームデリゲーション（不完全なネームサーバー委任）のあるドメインを悪用して年間約 2,500 件のドメインをハイジャックしています。既存の信頼あるドメインの評判を利用し、無害に見せかけてセキュリティフィルタをすり抜けます。Vacant Viper は無料の DNS ホスティングサービスを利用していると見られ、ハイジャックした各ドメインを約 30 日間ずつ保持します。これにより、複数の脅威アクターが価値の高いドメイン資産を再利用できるようになります。

ハイジャックされたドメインはさまざまな目的に悪用されますが、特に 404TDS におけるルーティングに用いられる点が顕著です。悪質なトラフィック配信システム（TDS）である 404TDS は、AsyncRAT や DarkGate を含むマルウェアや各種詐欺を配信することで知られています。

Vacant Viper

• 活動確認：2019 年以降
• Infoblox による検出：2024 年 2 月
• Infoblox による公開：2025 年 7 月
• 普及率：まれ