Cómo VexTrio y sus afiliados gestionan una red global de estafas
Los actores de amenazas detrás del Servicio de distribución de tráfico (TDS) VexTrio Viper han sido vinculados a otros servicios TDS como Help TDS y Disposable TDS, lo que indica que la sofisticada operación cibercriminal es una empresa en expansión propia que está diseñada para distribuir contenido malicioso.
"VexTrio es un grupo de empresas de tecnología publicitaria maliciosa que distribuyen estafas y software dañino a través de diferentes formatos publicitarios, incluidos enlaces inteligentes y notificaciones push", afirmó Infoblox en un detallado informe.
Algunas de las empresas de tecnología publicitaria maliciosas bajo VexTrio Viper incluyen a Los Pollos, Taco Loco y Adtrafico. Estas empresas operan una red de afiliados comerciales que conecta a actores de malware, cuyos sitios web son visitados por usuarios desprevenidos, con los llamados "afiliados publicitarios" que ofrecen diversas formas de fraudes ilícitos, como fraudes con tarjetas de regalo, aplicaciones maliciosas, sitios de phishing y estafas.
En otras palabras, estos sistemas maliciosos de distribución de tráfico están diseñados para redirigir a las víctimas a sus destinos mediante un SmartLink o una oferta directa. Los Pollos, según la firma de inteligencia de amenazas DNS, recluta a distribuidores de malware (también conocidos como afiliados de publicación) con promesas de ofertas muy rentables, mientras que Taco Loco se especializa en la monetización push y recluta afiliados publicitarios.
Otro componente notable de estos ataques es la vulneración de sitios web de WordPress para inyectar código malicioso, responsable de iniciar la cadena de redirección, que finalmente dirige a los visitantes a la infraestructura fraudulenta de VexTrio. Ejemplos de estas inyecciones incluyen Balada, DollyWay, Sign1 y campañas de registros DNS TXT.
"Estos scripts redirigen a los visitantes del sitio a diversas páginas fraudulentas a través de redes de intermediarios de tráfico asociadas con VexTrio, una de las redes de afiliados de cibercriminales más grandes conocidas, que utiliza sofisticadas técnicas de DNS, sistemas de distribución de tráfico y algoritmos de generación de dominios para distribuir malware y estafas a través de redes globales", señaló GoDaddy en un informe publicado en marzo de 2025.
Las operaciones de VexTrio sufrieron un revés a mediados de noviembre de 2024 después de que Qurium revelara que la empresa suizo-checa de tecnología publicitaria Los Pollos formaba parte de VexTrio, lo que provocó que Los Pollos cesara la monetización de enlaces push. Esto, a su vez, desencadenó un éxodo, lo que provocó que los actores de amenazas que dependían en gran medida de la red de Los Pollos se trasladaran a destinos de redireccionamiento alternativos como Help TDS y Disposable TDS.
El análisis de Infoblox de 4,5 millones de respuestas de registros DNS TXT de sitios web comprometidos durante un período de seis meses reveló que los dominios que formaban parte de las campañas de registros DNS TXT podrían clasificarse en dos conjuntos, cada uno con su propio servidor de comando y control (C2).
Ambos servidores estaban alojados en una infraestructura conectada a Rusia, pero ni su alojamiento ni sus respuestas TXT se solapaban —afirmó la empresa—. Cada conjunto mantenía estructuras de URL de redireccionamiento diferentes, a pesar de que ambos conducían inicialmente a VexTrio y posteriormente a Help TDS.
Nuevas pruebas han revelado que Help TDS y Disposable TDS son la misma plataforma, y que ambos servicios mantuvieron una relación exclusiva con VexTrio hasta noviembre de 2024. Help TDS, que históricamente redirigía el tráfico a los dominios de VexTrio, se ha trasladado desde entonces a Monetizer, una plataforma de monetización que utiliza tecnología TDS para conectar el tráfico web de los afiliados de los editores a los anunciantes.
"El Help TDS tiene una fuerte conexión con Rusia, ya que el alojamiento y el registro de dominios se realizan frecuentemente a través de entidades rusas", afirmó Infoblox, describiendo a los operadores como posiblemente independientes. "No cuenta con la funcionalidad completa de los TDS de VexTrio y no tiene vínculos comerciales evidentes más allá de sus extrañas conexiones con VexTrio".
Renée Burton, vicepresidenta de inteligencia de amenazas de Infoblox, declaró a The Hacker News que Help TDS está redirigiendo exclusivamente a Monetizer. "Sabemos que existe una relación especial entre Help TDS y VexTrio, lo que significa que probablemente estén coordinados", añadió Burton. "Comparten software. Pero desconocemos la relación entre VexTrio y Monetizer. En otras palabras, lo más probable es que migrar a Help TDS no sea migrar a un nuevo TDS".
VexTrio es una de las muchas TDS que se han identificado como empresas de tecnología publicitaria comercial, junto con Partners House, BroPush, RichAds, Admeking y RexPush. Muchas de estas están orientadas a los servicios de notificaciones push mediante el uso de Google Firebase Cloud Messaging (FCM) o scripts personalizados basados en la Push API para distribuir enlaces a contenido malicioso mediante notificaciones push.
"Cada año, cientos de miles de sitios web comprometidos en todo el mundo redirigen a sus víctimas a la enmarañada red de TDS de VexTrio y sus afiliados", afirmó la compañía.
VexTrio y las demás empresas de publicidad afiliadas saben quiénes son los actores del malware, o al menos tienen suficiente información para rastrearlos. Muchas de estas empresas están registradas en países que exigen cierto grado de "conozca a su cliente" (KYC), pero incluso sin estos requisitos, las editoriales afiliadas son investigadas por sus gestores de clientes.
