Chiến dịch mã độc tàng hình trên website mang tên Detour Dog, được theo dõi từ tháng 8 năm 2023, đã phát triển từ việc chuyển hướng nạn nhân đến các trang lừa đảo hỗ trợ kỹ thuật thành một hệ thống phân phối Command-and-Control (C2) dựa trên DNS tinh vi. Hệ thống này có khả năng phân phối mã độc đánh cắp thông tin Strela Stealer thông qua các bản ghi DNS TXT.

Hàng chục nghìn website bị xâm nhập trên toàn cầu thực hiện các yêu cầu DNS phía máy chủ, vốn vô hình đối với khách truy cập. Điều này cho phép chuyển hướng có điều kiện và thực thi mã từ xa (remote code execution).

Tổng quan về Chiến dịch Detour Dog

Lịch sử và Sự phát triển ban đầu

Ban đầu, các máy chủ tên miền do Detour Dog kiểm soát đã định hướng các trang web bị lây nhiễm đến các trang lừa đảo như Los Pollos và Help TDS.

Đến cuối tháng 11 năm 2024, việc chuyển hướng đã thay đổi từ Los Pollos sang các mạng liên kết Help TDS và Monetizer TDS. Tuy nhiên, mục đích cuối cùng – kiếm tiền từ lưu lượng truy cập gian lận – vẫn không thay đổi.

Mục tiêu và Cơ chế ban đầu

Nguồn gốc của Detour Dog có thể truy tìm từ tháng 2 năm 2020. Ban đầu, chiến dịch này chuyển tiếp lưu lượng truy cập đến các đối tác của Los Pollos được nhận diện bằng ID như bt1k60t. Sau đó, nó tích hợp các ID đối tác của Help TDS.

Liên kết Los Pollos cũng bao gồm ID đối tác bt1k60t và trang web được chuyển hướng đến một tên miền khác là braraildye[.]live, được lưu trữ tại Hetzner, được cho là một phần của Taco Loco.

Các chuỗi chuyển hướng chi tiết được ghi nhận vào tháng 11 năm 2024 và ngày 20 tháng 11 năm 2024 đã minh họa quá trình chuyển đổi từ Help TDS sang Monetizer TDS với các thông số theo dõi nhất quán (cid:11005). Dòng chảy lưu lượng truy cập do liên kết điều khiển này đã diễn ra liên tục trong hơn 5 năm rưỡi.

Chuyển đổi sang DNS-based C2 và Phân phối Mã độc

Cơ chế hoạt động của DNS TXT C2

Bắt đầu từ mùa xuân năm 2025, một khả năng mới xuất hiện: các máy chủ tên miền bắt đầu phản hồi các truy vấn DNS TXT được định dạng đặc biệt bằng các lệnh “down” được mã hóa Base64. Các lệnh này hướng dẫn các trang web bị xâm nhập tải về và thực thi các script PHP từ các máy chủ C2 từ xa.

Đây là lần đầu tiên Detour Dog trực tiếp phân phối mã độc cho người dùng cuối. Mô hình DNS TXT C2 này đại diện cho một kiến trúc phân phối mã độc mới lạ, bền vững, che giấu cơ sở hạ tầng C2 thực sự đằng sau mạng lưới toàn cầu các trang web bị xâm nhập.

Các trang web bị xâm nhập tạo ra các truy vấn DNS TXT theo định dạng sau:

[subdomain].dnscfg.<type>.<c2_domain>

Khi <type> khớp với các mẫu như nwuuscript hoặc nauufile, máy chủ tên miền có thẩm quyền sẽ trả về một bản ghi TXT được tiền tố bằng “down” và một URL C2.

Đầu ra của script PHP sau đó được chuyển tiếp đến nạn nhân, tất cả thông qua các yêu cầu curl phía máy chủ, vốn né tránh được sự phát hiện phía máy khách.

Phân phối Strela Stealer và StarFish Backdoor

Vào tháng 6 năm 2025, các nhà nghiên cứu đã quan sát thấy cơ sở hạ tầng Detour Dog lưu trữ backdoor StarFish, vốn cài đặt payload Strela Stealer. Phân tích tiết lộ rằng 69% các máy chủ staging StarFish được xác nhận nằm dưới sự kiểm soát của Detour Dog. Chi tiết có thể tham khảo thêm tại báo cáo của Infoblox: Detour Dog DNS Malware Powers Strela Stealer Campaigns.

Detour Dog tự tạo ra các mã định danh theo dõi được mang theo qua nhiều hệ thống phân phối lưu lượng (TDSs). Bên ngoài, StarFish và Strela được lan truyền qua spam gửi qua botnet REM Proxy MikroTik và botnet Tofsee.

Vào ngày 8 tháng 6, các phản hồi DNS TXT bắt đầu cung cấp các URL C2 cho các điểm cuối PHP – trước tiên là script.php để phân phối trình tải xuống StarFish, sau đó là file.php để tải về kho lưu trữ ZIP của Strela Stealer – tạo ra một chuỗi phân phối đa giai đoạn, được điều phối bởi DNS.

Về sự phức tạp của việc che giấu thông tin qua DNS TXT, có thể tìm hiểu thêm về kỹ thuật này: Uncovering Hiding Images in DNS TXT Entries.

Dấu hiệu nhận biết và Quy mô lây nhiễm

Các bản ghi DNS thụ động từ ngày 6–8 tháng 8 năm 2025 cho thấy hơn 4 triệu truy vấn, chủ yếu là các phản hồi “không làm gì” lành tính. Tuy nhiên, các lệnh thực thi từ xa không thường xuyên đã tiết lộ một mô hình phân phối độc đáo kiểu “ba lá bài”.

Shadowserver Foundation đã sinkhole tên miền C2 chính là webdmonitor[.]io vào tháng 8 năm 2025. Chỉ trong vòng vài giờ, Detour Dog đã kích hoạt tên miền aeroarrows[.]io. Dữ liệu sinkhole đã thu thập hơn 39 triệu truy vấn TXT trong 48 giờ từ 30.000 máy chủ bị lây nhiễm trên 584 TLDs.

Mặc dù lưu lượng bot chiếm ưu thế – đạt đỉnh 2 triệu yêu cầu mỗi giờ – các địa chỉ IP duy nhất trải rộng trên 89 quốc gia, với Hoa Kỳ chiếm 37% các địa chỉ IP khách truy cập riêng biệt. Đáng chú ý, một số IP được mã hóa thuộc về các mạng con của Bộ Quốc phòng Hoa Kỳ, cho thấy một mối đe dọa mạng với phạm vi rộng và mục tiêu nhạy cảm.

Các chỉ số nhận diện nguy cơ (IOCs)

Để hỗ trợ các nỗ lực phát hiện xâm nhập và phòng thủ, dưới đây là các chỉ số nhận diện nguy cơ liên quan đến chiến dịch Detour Dog:

Tên miền C2

• webdmonitor[.]io (đã bị sinkhole)
• aeroarrows[.]io
• braraildye[.]live

Mã định danh Affiliate

• bt1k60t
• cid:11005

Chiến lược Phòng thủ và Phát hiện

Bằng cách đan xen các luồng lưu lượng tiếp thị liên kết với việc thực thi mã từ xa dựa trên DNS, Detour Dog che giấu các chuỗi tấn công và đánh lạc hướng các nhà phòng thủ.

Khi Detour Dog tiếp tục tinh chỉnh hệ thống của mình – với các thử nghiệm DNS thụ động cho thấy việc mở rộng tính năng đang diễn ra – các tổ chức và chuyên gia săn lùng mối đe dọa phải kết hợp các chiến lược giám sát DNS TXT và kỹ thuật sinkholing để phát hiện và giảm thiểu các mối đe dọa ngầm như vậy.