Thought Leadership
Cyberkriminelle verstecken sich zunehmend hinter scheinbar legitimen Geschäftsmodellen. Das IT-Sicherheitsunternehmen Infoblox hat nun Details zu einem Bedrohungsakteur namens “Vane Viper” veröffentlicht, der sich als AdTech-Unternehmen tarnt und über seine Werbeplattformen Malware verbreitet sowie Betrugsdelikte ermöglicht.
Die Sicherheitsforscher von Infoblox verfolgen die Gruppe, die ursprünglich unter dem Namen Omnatuor bekannt war, bereits seit über drei Jahren. Die Bedrohungslage ist erheblich: Vane Viper-Malvertising-Domains sind in rund 50 Prozent aller Kundennetzwerke von Infoblox zu finden. Im vergangenen Jahr generierte der Akteur über eine Billion DNS-Anfragen. Mehrere Domains des Netzwerks gehören laut Tranco zu den Top 10.000 weltweit, eine Tracking-Domain rangiert sogar unter den Top 1.000.
PropellerAds als Mutterunternehmen identifiziert
Nach Erkenntnissen von Infoblox Threat Intel handelt es sich bei Vane Viper um die AdTech Holding, die Muttergesellschaft des umstrittenen Werbeunternehmens PropellerAds. Während die IT-Sicherheitsbranche die Integrität von PropellerAds schon länger anzweifelt, liefert der aktuelle Bericht konkrete Beweise für systematische Missstände.
Die Analyse von über Jahre erfassten DNS-Daten und die aktive Interaktion mit Vane Vipers Traffic Distribution System (TDS) zeigen: PropellerAds ist nicht einfach nur ein missbrauchter Dienstleister, sondern aktiv an fragwürdigen Aktivitäten beteiligt. Das Unternehmen nutzt kompromittierte Websites und irreführende Anzeigen von Publishing-Partnern, um Malware zu verbreiten und digitale Betrugskampagnen durchzuführen. Die Forscher von Infoblox erhielten mehrfach direkt Malware über das System ausgespielt, wodurch das Netzwerk aufgedeckt wurde, das bereits zuvor für Werbebetrug genutzt worden war.
Parallelen zu VexTrio
Vane Viper weist Ähnlichkeiten zu VexTrio auf, einem anderen Bedrohungsakteur, über den Infoblox im August 2025 bei der BlackHat USA ausführlich berichtete. Wie VexTrio besteht auch Vane Viper aus mehreren Werbeunternehmen, die überwiegend von russischsprachigen Personen geführt werden. Diese Firmen präsentieren sich als separate Organisationen, gehören jedoch zu einer gemeinsamen Gruppe. Beide Akteure sind Teil einer Kohorte, die 2015 fast zeitgleich in Osteuropa und russischen Diaspora-Zentren wie Zypern entstand. VexTrio und Vane Viper werben mit ihrer Partnerschaft, scheinen aber unabhängig voneinander zu operieren.
“Unsere Untersuchungen haben zunehmend gezeigt, dass Cyberkriminelle nicht nur Adtech-Plattformen nutzen, sondern manchmal selbst Adtech-Plattformen betreiben”, erklärt Dr. Renée Burton, Vice President of Threat Intel bei Infoblox. “Früher dachten wir, dass die digitale Unterwelt in den dunklen Ecken des Internets operiert, aber wir haben festgestellt, dass sich viele kriminelle Akteure stattdessen in aller Öffentlichkeit verstecken.”
Komplexe Infrastruktur und Tarnmechanismen
Das Vane-Viper-Netzwerk umfasst mehr als 60.000 Domains, von denen viele nur wenige Tage aktiv sind, während einige über 1.200 Tage bestehen bleiben. Der Akteur setzt auf Push-Notification-Missbrauch, Traffic Distribution Systeme und Cloaking-Techniken, um unerkannt zu bleiben und sich dauerhaft in Netzwerken zu etablieren.
Firmenmäntel und undurchsichtige Eigentumsverhältnisse ermöglichen eine mehr oder weniger glaubhafte Leugnung der Aktivitäten und erschweren die strafrechtliche Verfolgung. Die Infrastruktur überschneidet sich mit Webzilla/XBT Holdings, die zuvor mit Methbot-Werbe-Betrug, russischen Desinformationskampagnen und Raubkopie-Plattformen in Verbindung gebracht wurden. Verbindungen zu russischen Oligarchen, verurteilten Betrügern und Plattformen mit nicht jugendfreien Inhalten unterstreichen das Risiko und das Ausmaß der Operation.
Systemisches Problem der AdTech-Branche
Der Bericht verdeutlicht ein grundlegendes Problem: Das digitale Werbeökosystem wurde nicht geschaffen, um transparent und sicher zu sein, sondern um schnell und profitabel zu arbeiten. Vane Viper zeigt, dass das ungebremste Wachstum dieser Branche die digitale Sicherheit von Nutzern weltweit im Namen der Monetarisierung untergräbt.
Plattformen wie AdTech Holding werben mit hoher Reichweite für Werbetreibende, bergen jedoch erhebliche Risiken für Endnutzer. Die Tatsache, dass sich kriminelle Akteure erfolgreich hinter legitimen Geschäftsmodellen verstecken können, stellt die Branche vor grundlegende Herausforderungen bei Kontrolle und Regulierung.
(lb/Infoblox)
