被称为“风向标蛇”的威胁行为者已被揭露为恶意广告技术（广告科技）的提供者，同时其依靠错综复杂的空壳公司网络和不透明的所有权结构，蓄意逃避责任。

“至少十年来，Vane Viper一直在广泛的恶意广告、广告欺诈和网络威胁扩散中提供核心基础设施，”Infoblox在上周与Guardio和Confiant合作发布的一份技术报告中表示。

“‘风向标蛇’不仅为恶意软件投放者和钓鱼者代理流量，还似乎在运行自己的活动，这与之前记录的广告欺诈技术一致。”

Vane Viper，也被称为Omnatuor，此前由DNS威胁情报公司于2022年8月记录在案，该公司将其描述为一个类似于VexTrio Viper的恶意广告网络，它利用存在漏洞的WordPress网站构建一个庞大的受感染域名网络，并利用这些域名传播风险软件、间谍软件和广告软件。

该威胁攻击者的持久化技术中一个值得注意的方面是，通过修改浏览器设置，滥用推送通知权限，即使用户离开初始页面后仍能推送广告。这种方法依赖于服务工作线程，它会维持一个持久的无头浏览器进程来监听事件并推送不必要的通知。

去年年底，Guardio实验室揭露了一场名为DeceptionAds的活动，发现该活动利用Vane Viper的恶意广告网络来推动类似ClickFix的社会工程学攻击活动。这一活动被归咎于一家名为Monetag的公司，据Infoblox称，该公司是PropellerAds的子公司，而PropellerAds是一家商业广告技术公司，其本身又是总部位于塞浦路斯的控股公司AdTech Holding的子公司。

与ProperllerAds相关联的域名长期以来因协助恶意广告活动以及将流量导向漏洞利用工具包或其他欺诈性网站而被标记。进一步分析发现，有证据表明多个广告欺诈活动源自归属于PropellerAds的基础设施。

这家网络安全公司表示，在过去一年里，Vane Viper在其约一半的客户网络中造成了约1万亿次DNS查询。该公司还指出，这个威胁行为者利用数十万个被入侵的网站和恶意广告，将毫无防备的网站用户重定向到恶意浏览器扩展程序、虚假购物网站、成人内容、调查诈骗、虚假应用程序、可疑软件下载以及恶意软件上，其中一个案例涉及名为Triada的安卓恶意软件。

此外，Vane Viper似乎与URL Solutions（又名Pananames）、Webzilla以及XBT Holdings存在基础设施和人员方面的联系，其中前者还与一个名为Doppelgänger的俄罗斯影响力行动所建立的虚假信息网站有关联。AdTech Holding旗下的其他一些公司包括ProPushMe、Zeydoo、Notix和Adex。

据评估，约有60,000个域名属于“风向标”（Vane Viper）的基础设施，其中大多数仅活跃不到一个月。不过，也有少数域名已活跃超过1200天，包括最初的omnatuor[.]com、propeller-tracking[.]com，以及其他几个围绕推送通知服务的域名。

经发现，该行动每月都会注册大量新域名，仅在2024年10月就达到了3500个的峰值，相比2023年4月不足500个的注册量有显著增长。据该公司称，自2023年以来，通过URL Solutions批量注册的域名中，“Vane Viper”相关域名占近50%。

然而，PropellerAds此前已否认有任何不当行为，称其“只不过是一个自动化中介，帮助广告商找到最合适的发布商来发布他们的广告”，并且“不认可、支持或鼓励其网络上的任何恶意广告”。

“‘风向标蛇’并非只是一个躲在广告技术平台背后的威胁行为体，”英孚布鲁克斯指出，“它本身就是一个作为广告技术平台存在的威胁行为体。AdTech Holding公司声称能为广告商提供大规模的触达和变现服务，但它实际带来的却是风险。”

“‘风向标蛇’以广告网络运营为幌子，利用其流量分发系统（TDS）传播多种威胁，从而为自己提供看似合理的否认借口。”