Infoblox identifica una vinculación entre hackers de WordPress y TDS relacionados con VexTrio

Ciudad de México, 16 de junio de 2025

VexTrio proporciona sistemas de distribución de tráfico (TDS) a agentes maliciosos , que los utilizan como parte de su cadena de suministro en campañas de software malicioso .

•Se ha descubierto un patrón común en el uso de tecnologías de publicidad (Adtech) por parte de los agentes maliciosos, lo que ha servido a su vez para rastrear esta relación y obtener información sobre la infraestructura y modus operandi de campañas de malware. en DNS.

Después de un análisis en profundidad del modo de operar de diferentes sistemas de distribución de tráfico(TDS) , InfobloxAmenaza Intel, la unidad de inteligencia de seguridad de Infoblox, ha conseguido detectar una actividad aparentemente coordinada entre hackers que atacan sitios de WordPressy diferentes agentes que operan TDS vinculados con el actor malicioso VexTrio .

Este hallazgo ha sido realizado después de una serie de estudios observacionales es consistente en introducir perturbaciones en los procesos operativos del agente VexTrio.para observar cómo se adapta al os cambios. El primer indicio se obtuvo cuando , una vez interrumpido el sistema de distribución de tráfico(TDS)de este agente malicioso , varios actores de malware que lo utilizaban como parte de su la cadena de suministro migraron a un nuevo proveedor de TDS.

Posteriormente se descubrió que varios proveedores de TDS del mercado compartían elementos de software con el agente VexTrio y que todos ellos se beneficiaban de la relación exclusiva que VexTrio tiene con actores de malware para sitios web. Finalmente, se hizo evidente que el uso de tecnologías de publicidad (Adtech) por parte de estos agentes y la capacidad para entender las técnicas DNS que han utilizado, han resultado clave para poder identificar esta relación.

Un hallazgo logrado gracias a la t elemetría DNS y experiencia en detección de amenazas

Después de analizar 4,5 millones de registros DNS TXT de sitios web confirmados durante un período de seis meses, Infoblox Amenaza Intel ha conseguido identificar dos servidores de comando y control (C2) alojados en una infraestructura rusa, lo que ha proporcionado importante información sobre la infraestructura y modus operandi de campañas de malware DNS.

Los actores maliciosos que utilizaron la infraestructura de VexTrio modificaron sus procesos operativos antes de que se informara a las empresas de alojamiento de dominios del uso malicioso de los mismos, y sugirieron a sus usuarios migrar a un sistema aparentemente nuevo, conocido como Help TDS. Después se ha descubierto que muchos otros TDS que compartían una gran cantidad de recursos con VexTrio, incluyendo la utilización de servicios de varias empresas del mercado especializadas en Adtech, como PartnersCasa, hermanoPush y RichAds.

Una amenaza persistente

Esta relación entre hackers de sitios web y VexTriosupone una amenaza importante. En primer lugar pone de manifiesto la rápida capacidad de adaptación de estos actores maliciosos. En segundo lugar, se ha visto que disponen de una gran capacidad para escalar su infraestructura y ataques, lo que se refuerza con el uso de tecnologías de publicidad. que permite entregar contenido altamente personalizado a millones de usuarios. Por último, esta infraestructura permite atacar millas de sitios web legítimos que utilizan WordPress u otros sistemas de gestión de contenidos, lo que afecta la marca y la reputación de las organizaciones que representan.

Uso de Adtech, una vulnerabilidad de estos actores maliciosos

El uso por parte de estos actores maliciosos de tecnología s de publicidaddel mercado podría ser a su vez su talón de Aquiles. Al haber descubierto las relaciones entre hackers de sitios web y VexTrio, se ha podido descubrir que existen identificadores únicos para cada operador de malware en cada una de las empresas. El siguiente paso será conseguir la colaboración de los proveedores de Adtechpara identificar a los actores maliciosos que utilizan su tecnología con objetivos fraudulentos.

DNS, una pie za clave en la defensa frente al uso fraudulento de sistemas de distribución de tráfico(TDS)

Agentes maliciosos utilizan sistemas de distribución de tráfico (TDS)como parte de su cadena de suministro para multiplicar el alcance y la efectividad de sus ataques. Para protegerse de este tipo de ataques,las organizaciones deben agregar un sus sistemas una capa de seguridad basada en el servicio DNS, por ejemplo utilizando servicios Protective DNS, basados en inteligencia de seguridad, que impiden a los usuarios el acceso a medios y plataformas falsas. Además deben implementar prácticas robustas de gestión de DNS, incluyendo auditorías periódicas de los registros DNS y la eliminación inmediata de los registros asociados con servicios en la nube interrumpidos. Además, se debe formar al usuario para que rechace las solicitudes de notificaciones push de sitios web desconocidos y así evitar ser víctima de estafas.