Source: Silent Push — Dans une publication de recherche du 26 septembre 2025, l’équipe Threat Intelligence de Silent Push analyse l’usage abusif des fournisseurs de sous‑domaines (« Dynamic DNS ») et annonce des exports de données pour suivre plus de 70 000 domaines qui louent des sous‑domaines.

• Portée et objectif: Silent Push a compilé des exports exclusifs permettant aux organisations de surveiller en temps réel les domaines louant des sous‑domaines, souvent exploités par des acteurs malveillants. L’objectif est d’aider à détecter, alerter, ou bloquer les connexions vers ces hôtes selon la tolérance au risque. Les exports et les flux IOFA (Indicators Of Future Attack) sont disponibles pour les clients Enterprise.

• Pourquoi c’est risqué: Les services de DNS dynamique / sous‑domaines loués peuvent servir d’infrastructure d’attaque en raison de pratiques d’enregistrement laxistes, d’acceptation de cryptomonnaies sans KYC, et de réponses tardives ou inexistantes aux demandes d’abus. Certains fournisseurs opèrent comme de « mini‑registrars » avec moins de contrôle que les registrars traditionnels, rendant les C2 et autres flux malveillants plus difficiles à démanteler. Des autorisations accidentelles peuvent survenir quand des domaines de ces services se retrouvent sur des listes bénignes d’entreprise.

• Méthode de suivi: Le suivi combine plusieurs sources: la Public Suffix List (section Private Domains), le scraping et l’analyse NS d’afraid[.]org (incluant des domaines « stealth » visibles via enregistrements NS), et le recensement d’autres fournisseurs DDNS majeurs. Un exemple de recherche NS pour afraid[.]org a produit plus de 591 000 résultats. Silent Push suit aussi des domaines liés à AttractSoft, relevés dans des attaques visant l’Ukraine, avec un fingerprint spécifique pour clients Enterprise.

• Exemples de plateformes/fournisseurs évoqués: afraid[.]org, Blogspot[.]com, pages[.]dev, us[.]com, it[.]com et d’autres DDNS: changeip[.]com, cloudns[.]net, dnsexit[.]com, duckdns[.]org, duiadns[.]net, dyn[.]com, dynu[.]com, now-dns[.]com, ydns[.]io, noip[.]com. Source technique citée: https://freedns[.]afraid[.]org/domain/add[.]php

• Nature de l’article: Il s’agit d’une publication de recherche et d’une analyse de menace présentant de nouvelles données structurées pour aider les entreprises à contextualiser et gérer les risques liés aux fournisseurs de sous‑domaines/DNS dynamique, avec un suivi continu annoncé pour 2025. 📊

🧠 TTPs et IOCs détectés

TTP

T1583.001 - Acquire Infrastructure: Domains; T1071.004 - Application Layer Protocol: DNS; T1584.006 - Compromise Infrastructure: Dynamic DNS

IOC

afraid.org, Blogspot.com, pages.dev, us.com, it.com, changeip.com, cloudns.net, dnsexit.com, duckdns.org, duiadns.net, dyn.com, dynu.com, now-dns.com, ydns.io, noip.com

🔗 Source originale : https://www.silentpush.com/blog/dynamic-dns-providers/