Il panorama della sicurezza informatica è stato recentemente scosso dalla scoperta delle attività del gruppo Vane Viper, identificato come uno dei principali operatori di malvertising e frodi pubblicitarie a livello globale. Questo attore malevolo sfrutta una complessa rete di società di comodo e strutture di proprietà opache, riuscendo così a eludere responsabilità dirette e a mantenere una posizione di deniability strutturata.

Attività e tecniche di Vane Viper

Vane Viper ha fornito per oltre un decennio infrastrutture fondamentali per campagne di malvertising, frodi sugli annunci e diffusione di minacce informatiche. La sua attività non si limita a fare da intermediario per traffico destinato a malware dropper e attacchi di phishing, ma comprende anche campagne autonome per la diffusione di adware, spyware e altri software indesiderati. Una caratteristica chiave di Vane Viper è l’abuso delle notifiche push nei browser: attraverso service worker, il gruppo riesce a inviare annunci pubblicitari e notifiche anche dopo che l’utente ha abbandonato la pagina, mantenendo un processo persistente nel browser stesso.

Impatto globale e modalità operative

Nel corso dell’ultimo anno, Vane Viper è stato responsabile di circa un trilione di query DNS, coinvolgendo più della metà delle reti dei principali operatori di sicurezza. Il gruppo sfrutta centinaia di migliaia di siti compromessi e una vasta gamma di annunci malevoli, reindirizzando gli utenti verso estensioni browser dannose, siti di shopping falsi, contenuti per adulti, truffe tramite sondaggi, download di software sospetti e persino malware Android come Triada.

Infrastruttura e collegamenti societari

L’infrastruttura di Vane Viper conta circa 60.000 domini, con la maggior parte attiva per meno di un mese, ma alcuni domini strategici rimangono online per anni. Ogni mese vengono registrati migliaia di nuovi domini, con picchi che superano i 3.000 in un solo mese. Molti di questi domini sono registrati tramite URL Solutions e collegati ad altre entità come Webzilla, XBT Holdings e società coinvolte anche in operazioni di disinformazione internazionale.

Plausibile negazione e rischi per la sicurezza

Nonostante le smentite ufficiali da parte di alcune società coinvolte, le evidenze tecniche mostrano come l’ecosistema di Vane Viper sia strettamente legato a grandi piattaforme pubblicitarie e holding internazionali. Il gruppo si nasconde dietro la plausibile negazione di essere solo un intermediario pubblicitario, mentre in realtà usa il proprio sistema di distribuzione di traffico per veicolare minacce di vario tipo, rappresentando così una minaccia concreta e globale per la sicurezza informatica.