Cyberprzestęcy coraz rzadziej działają w mrocznych zakątkach internetu. Zamiast tego coraz chętniej korzystają z infrastruktury, która od lat stoi w centrum gospodarki cyfrowej – reklam online. Najnowszy raport firmy Infoblox pokazuje, jak grupa Vane Viper z powodzeniem podszywa się pod dostawcę usług AdTech i wykorzystuje swoje „legalne” platformy do rozprzestrzeniania złośliwego oprogramowania oraz prowadzenia masowych kampanii oszustw. To studium przypadku pokazuje, że AdTech staje się nie tylko polem do nadużyć, ale również pełnoprawnym schronieniem dla przestępców, którzy nie muszą już kryć się w darknecie.
Nowa strategia cyberprzestępców
Jeszcze dekadę temu większość dużych operacji cyberprzestępczych kojarzono z ukrytymi forami i darknetowymi giełdami. Tam kupowano dane, zlecano ataki i handlowano malwarem. Dziś krajobraz wygląda inaczej. Cyfrowe podziemie nie tylko korzysta z platform reklamowych, ale coraz częściej samo je buduje i prowadzi.
Powód jest prosty: AdTech to branża zorientowana na szybki wzrost i maksymalizację zasięgu. W praktyce oznacza to brak przejrzystości, minimalne wymagania w zakresie kontroli partnerów i ogromne wolumeny ruchu, które ułatwiają maskowanie złośliwej aktywności. Dla grup takich jak Vane Viper to idealne środowisko, by działać jawnie i nadal pozostawać poza radarem organów ścigania.
Vane Viper – przypadek testowy dla branży
Grupa Vane Viper, śledzona przez badaczy od ponad trzech lat, stała się jednym z najgłośniejszych przykładów takiego modelu działania. Jej infrastruktura obejmuje ponad 60 tys. domen – od krótkotrwałych, aktywnych przez kilka dni, po takie, które funkcjonują od lat. Według danych Infoblox, domeny powiązane z tym podmiotem pojawiły się w niemal połowie wszystkich sieci klientów firmy, a w ubiegłym roku grupa wygenerowała ponad bilion zapytań DNS.
Skala działalności nie wynika jedynie z agresywnej dystrybucji. Vane Viper łączy różne techniki: nadużywanie powiadomień push, manipulację systemami dystrybucji ruchu (TDS), wykorzystywanie skompromitowanych stron internetowych i fałszywych reklam od partnerów wydawniczych. Co więcej, analiza wykazała powiązania z AdTech Holding, spółką macierzystą kontrowersyjnej sieci reklamowej PropellerAds, której reputacja od dawna była przedmiotem wątpliwości w branży.
AdTech jako ekosystem wysokiego ryzyka
Problem nie polega wyłącznie na działalności jednej grupy. To, że cyberprzestępcy mogą tak łatwo przeniknąć do środowiska reklamowego, pokazuje fundamentalną słabość całej branży. Ekosystem AdTech został zbudowany wokół prostych celów: szybkie łączenie reklamodawców z odbiorcami i maksymalizacja przychodów. Mechanizmy bezpieczeństwa i weryfikacji partnerów często schodzą na dalszy plan.
Efekt jest przewidywalny. Firmy szukają taniego i szerokiego zasięgu, wydawcy chcą monetyzować ruch, a w tej luce osadzają się podmioty, które oferują błyskawiczne rezultaty – bez względu na ich pochodzenie. Tak właśnie Vane Viper mógł wtopić się w sieć reklamową i przez lata rozbudowywać swoją infrastrukturę praktycznie bez przeszkód.
Paralelne przypadki – VexTrio i inni gracze
Vane Viper to nie jedyny przykład. Kilka miesięcy wcześniej badacze Infoblox ostrzegali przed grupą VexTrio, która również wykorzystywała sieci reklamowe do ukrywania złośliwych działań. Oba podmioty mają podobną strukturę: funkcjonują jako zestaw spółek reklamowych zarejestrowanych w różnych jurysdykcjach, często prowadzonych przez osoby rosyjskojęzyczne i powiązane z ośrodkami diaspory w Europie Wschodniej i na Cyprze.
Na pierwszy rzut oka każda firma wygląda jak oddzielny biznes. W praktyce tworzą one coś na kształt holdingu – luźno powiązanej sieci współpracujących organizacji, które dzielą infrastrukturę i know-how. Takie podejście pozwala na szybkie skalowanie operacji, a jednocześnie utrudnia śledztwa i działania regulatorów.
Konsekwencje dla biznesu i użytkowników
Choć może się wydawać, że to problem techniczny dotyczący specjalistów od bezpieczeństwa, skutki przeniknięcia cyberprzestępców do AdTech są znacznie szersze.
Dla firm korzystających z reklam oznacza to realne ryzyko, że ich kampanie będą pojawiać się obok treści wprowadzających w błąd lub wręcz będą służyć do infekowania użytkowników. Z kolei zwykli internauci narażeni są na ataki poprzez pozornie niewinne reklamy czy wyskakujące powiadomienia. Każde kliknięcie może prowadzić do infekcji, kradzieży danych lub udziału w kampanii oszustw cyfrowych.
Długofalowo to także zagrożenie reputacyjne dla całego rynku reklam cyfrowych. Jeśli ekosystem będzie kojarzony z niebezpieczeństwem, reklamodawcy mogą ograniczać inwestycje, a użytkownicy – blokować treści, co podważy fundamenty biznesowe całej branży.
Systemowy problem regulacyjny
Raport Infoblox podkreśla również szersze wyzwanie: brak międzynarodowych standardów bezpieczeństwa w branży AdTech. Nieprzejrzystość struktur własnościowych, jurysdykcje offshore i powiązania z innymi branżami wysokiego ryzyka sprawiają, że ściganie takich grup jest niezwykle trudne.
Choć na poziomie regulacyjnym widać pierwsze próby ucywilizowania ekosystemu reklamy cyfrowej – zwłaszcza w kontekście ochrony danych – kwestie bezpieczeństwa nadal pozostają w cieniu. Tymczasem przypadek Vane Viper pokazuje, że bez narzędzi audytu, kontroli partnerów i mechanizmów weryfikacji cały sektor może być narażony na długotrwałe, systemowe nadużycia.
AdTech przez lata był prezentowany jako motor napędowy gospodarki internetowej, umożliwiający monetyzację treści i finansowanie rozwoju cyfrowych usług. Dziś coraz wyraźniej widać jednak, że ta sama infrastruktura staje się również wygodnym schronieniem dla cyberprzestępców.
