A Infoblox Threat Intel divulgou um relatório inédito sobre o Vane Viper, grupo de cibercriminosos que se apresenta como uma empresa legítima de tecnologia de publicidade digital (adtech). A investigação mostra que o grupo não apenas facilita golpes e distribui malwares via programas de afiliados, como também atua diretamente na disseminação dessas ameaças.
Monitorado pela Infoblox por mais de três anos, o Vane Viper, inicialmente identificado como Omnatuor, tornou-se uma prioridade devido à sua presença massiva em redes de clientes. Os domínios usados pelo grupo foram detectados em aproximadamente 50% dessas redes. A atuação é global, com diversos domínios entre os 10 mil mais acessados do mundo segundo o ranking Tranco, e um deles chegou ao top 1 mil.
Conexão com PropellerAds e AdTech Holding
A investigação revelou que o Vane Viper corresponde à AdTech Holding, controladora da controversa PropellerAds. O grupo utiliza sites comprometidos e anúncios enganosos publicados por afiliados para disseminar malwares e fraudes digitais. Embora já houvesse suspeitas sobre a integridade da PropellerAds, o relatório traz evidências de participação ativa em operações ilícitas.
Após análise de dados de DNS e interação direta com o Traffic Distribution System (TDS) do grupo, pesquisadores constataram que a PropellerAds atua como cúmplice, entregando malware em algumas ocasiões diretamente aos pesquisadores da Infoblox, evidenciando um ecossistema historicamente ligado a fraudes publicitárias.
Semelhanças com outros grupos russos
O Vane Viper apresenta semelhanças com o VexTrio, outro grupo investigado pela Infoblox e apresentado na conferência BlackHat USA em agosto de 2025. Ambos surgiram quase simultaneamente em 2015, na Europa Oriental e em centros da diáspora russa, como Chipre, e embora aparentem estruturas independentes, compartilham administração e parcerias entre si.
“Nossas pesquisas mostram que, em muitos casos, os cibercriminosos não apenas exploram plataformas de adtech, eles são essas plataformas”, afirma Dr. Renée Burton, vice-presidente de Threat Intel da Infoblox. “Antes acreditávamos que o submundo digital operava apenas nas sombras da internet, mas descobrimos que muitos desses atores se escondem à vista de todos, criando empresas comerciais para manter uma aparência de legitimidade. O Vane Viper é um dos grandes operadores de TDS que rastreamos, todos surgidos a partir de 2015 e controlados por membros da diáspora russa na Europa e em Chipre.”
Principais descobertas da investigação
- O Vane Viper foi detectado em cerca de metade das redes de clientes da Infoblox, gerando mais de 1 trilhão de consultas DNS no último ano.
- O grupo atua via PropellerAds e outras subsidiárias da AdTech Holding, distribuindo malwares, golpes de phishing e fraudes publicitárias.
- Estruturas corporativas opacas criam uma “negação plausível”, dificultando responsabilização.
- Há sobreposição de infraestrutura com a Webzilla/XBT Holdings, já associada a fraudes de anúncios, campanhas de desinformação russa e plataformas de pirataria.
- Utilizam abuso de notificações push, sistemas de distribuição de tráfego (TDS) e técnicas de cloaking para evitar detecção.
- A rede envolve mais de 60 mil domínios, alguns ativos por poucos dias e outros por mais de 1.200 dias.
- Conexões com oligarcas russos, fraudadores condenados e plataformas de conteúdo adulto reforçam a escala e periculosidade da operação.
O relatório evidencia como cibercriminosos exploram a indústria de adtech para atingir usuários em escala global. Sob a promessa de alcance para anunciantes, empresas como a AdTech Holding acabam entregando riscos significativos. O caso Vane Viper demonstra como o crescimento descontrolado do ecossistema de publicidade digital compromete a segurança digital mundial.
