Selon Infoblox (blog Threat Intelligence), ce rapport analyse en profondeur VexTrio, une organisation cybercriminelle ancienne et sophistiquée opérant un vaste écosystème mondial de scams, spam et applications mobiles frauduleuses.
L’étude décrit un modèle économique multi‑canal : sites de rencontres factices, arnaques crypto, apps VPN et adblock malveillantes (plus d’1 million de téléchargements) et opérations de spam usurpant des services e‑mail légitimes. VexTrio contrôle à la fois les Traffic Distribution Systems (TDS) et les pages d’atterrissage frauduleuses, maximise ses profits via un réseau de sociétés écrans et de programmes d’affiliation, et illustre la porosité entre adtech et cybercriminalité ⚠️.
Sur le plan technique, VexTrio opère une infrastructure avancée : TDS diffusant des contenus d’arnaque via des smartlinks placés sur des sites compromis et des réseaux sociaux ; infrastructures DNS liant des domaines d’escroquerie à des plages IP dédiées dans AS5368 et des data centers suisses ; usage de DGA, de faux CAPTCHA, et d’applications VPN en proxy résidentiel. Les opérations de spam reposent sur l’usurpation DNS de services légitimes (ex. sendgrid.rest, mailgun.fun) et l’externalisation auprès de prestataires tiers comme YNOT Mail. L’analyse des apps mobiles montre des bases de code partagées avec des sociétés partenaires, hébergées sur une infrastructure contrôlée par le groupe de développement HolaCode, et des modèles de souscription trompeurs avec publicité excessive 📱.
🔎 IOCs (extraits)
- Domaines usurpés: sendgrid.rest, mailgun.fun
- ASN/Hosting: AS5368 ; data centers en Suisse (plages IP dédiées)
- Prestataires/Infra liés: YNOT Mail (prestataire e‑mail), HolaCode (développement/hébergement d’apps)
🛠️ TTPs observées
- TDS avec smartlinks sur sites compromis et réseaux sociaux
- DGA pour la génération de domaines
- Faux CAPTCHA pour filtrage/interaction
- Usurpation DNS de services e‑mail légitimes
- Apps VPN/proxy résidentiel et adblock malveillantes
- Code partagé, abonnements trompeurs, publicités agressives
Type d’article: analyse de menace. Objectif principal: exposer l’infrastructure, les méthodes et les canaux de monétisation de VexTrio afin de documenter son écosystème criminel.
🧠 TTPs et IOCs détectés
TTPs
[‘Traffic Distribution Systems (TDS) avec smartlinks sur sites compromis et réseaux sociaux’, ‘Domain Generation Algorithm (DGA) pour la génération de domaines’, ‘Faux CAPTCHA pour filtrage/interaction’, ‘Usurpation DNS de services e-mail légitimes’, ‘Applications VPN/proxy résidentiel et adblock malveillantes’, ‘Code partagé entre applications’, ‘Abonnements trompeurs’, ‘Publicités agressives’]
IOCs
{‘domaines_usurpés’: [‘sendgrid.rest’, ‘mailgun.fun’], ‘asn_hosting’: [‘AS5368’, ‘data centers en Suisse (plages IP dédiées)’], ‘prestataires_infra_liés’: [‘YNOT Mail’, ‘HolaCode’]}
🔗 Source originale : https://blogs.infoblox.com/threat-intelligence/vextrio-unmasked-a-legacy-of-spam-and-homegrown-scams/