Infoblox identifica una vinculación entre hackers de WordPress y TDS relacionados con VexTrio
VexTrio proporciona sistemas de distribución de tráfico(TDS) a agentes maliciosos, que los utilizan como parte de su cadena de suministro en campañas de malware.
Se ha descubierto un patrón común en el uso de tecnologías de advertising (Adtech) por parte de los agentes maliciosos, lo que ha servido a su vez para rastrear esta relación y obtener información sobre la infraestructura y modus operandi de campañas de malware en DNS.
Junio de 2025 – Después de un análisis en profundidad del modo de operar de diferentes sistemas de distribución de tráfico (TDS), Infoblox Threat Intel, la unidad de inteligencia de seguridad de Infoblox, ha conseguido detectar una actividad aparentemente coordinada entre hackers que atacan sitios de WordPress y diferentes agentes que operan TDS vinculados con el actor malicioso VexTrio.
Este hallazgo ha sido realizado después de una serie de estudios observacionales consistentes en introducir perturbaciones en los procesos operativos del agente VexTrio para observar cómo se adapta a los cambios. El primer indicio se obtuvo cuando, una vez interrumpido el sistema de distribución de tráfico(TDS)de este agente malicioso, varios actores de malware que lo utilizaban como parte de su cadena de suministro migraron a un nuevo proveedor de TDS.
Posteriormente se descubrió que varios proveedores TDS del mercado compartían elementos de software con el agente VexTrio y que todos ellos se beneficiaban de la exclusiva relación que VexTrio tiene con actores de malware para sitios web. Finalmente, se hizo evidente que el uso de tecnologías de advertising (Adtech) por parte de estos agentes y la capacidad para entender las técnicas DNS que han utilizado, han resultado clave para poder identificar esta relación.
Un hallazgo logrado gracias a la telemetría DNS y experiencia en detección de amenazas
Después de analizar 4,5 millones de registros DNS TXT de sitios web comprometidos durante un período de seis meses, Infoblox Threat Intel ha conseguido identificar dos servidores command-and-control (C2) alojados en una infraestructura rusa, lo que ha proporcionado importante información sobre la infraestructura y modus operandi de campañas de malware DNS.
Los actores maliciosos que utilizaban la infraestructura de VexTrio modificaron sus procesos operativos antes de que se informara a las empresas de alojamiento de dominios del uso malicioso de los mismos, y sugirieron a sus usuarios migrar a un sistema aparentemente nuevo, conocido como Help TDS. Después se ha descubierto que muchos otros TDS que compartían una gran cantidad de recursos con VexTrio, incluyendo la utilización de servicios de varias empresas del mercado especializadas en Adtech, como Partners House, Bro Push y RichAds.
Una amenaza persistente
Esta relación entre hackers de sitios web y VexTrio supone una amenaza importante. En primer lugar pone de manifiesto la rápida capacidad de adaptación de estos actores maliciosos. En segundo lugar, se ha visto que disponen de una gran capacidad para escalar su infraestructura y ataques, lo que se refuerza con el uso de tecnologías de advertising, que permite entregar contenido altamente personalizado a millones de usuarios. Por último, esta infraestructura permite atacar miles de sitios web legítimos que utilizan WordPress u otros sistemas de gestión de contenido, lo que afecta la marca y la reputación de las organizaciones que representan.
Uso de Adtech, una vulnerabilidad de estos actores maliciosos
El uso por parte de estos actores maliciosos de tecnologías de advertising del mercado podría ser a su vez su talón de Aquiles. Al haberse descubierto las relación entre hackers de sitios web y VexTrio, se ha podido averiguar que existen identificadores únicos para cada operador de malware en cada una de las empresas. El siguiente paso será conseguir la colaboración de los proveedores de Adtech para identificar a los actores maliciosos que utilizan su tecnología con objetivos fraudulentos.
DNS, una pieza clave en la defensa frente al uso fraudulento de sistemas de distribución de tráfico (TDS)
Agentes maliciosos utilizan sistemas de distribución de tráfico (TDS) como parte de su cadena de suministro para multiplicar el alcance y la efectividad de sus ataques. Para protegerse de este tipo de ataques,las organizaciones deben añadir a sus sistemas una capa de seguridad basada en el servicio DNS, por ejemplo utilizando servicios Protective DNS, basados en inteligencia de seguridad, que impiden a los usuarios el acceso a medios y plataformas falsos. Además deben implementar prácticas robustas de gestión de DNS, incluyendo auditorías periódicas de los registros DNS y la eliminación inmediata de los registros asociados con servicios en la nube interrumpidos. Además, se debe formar al usuario para que rechace las solicitudes de notificaciones push de sitios web desconocidos y así evitar ser víctima de estafas.
