研究者によると、金銭目的の脅威アクターが数十のDNS（ドメインネームシステム）リゾルバーをハッキングし、それらを、犯罪とのつながりを理由に米財務省から制裁を受けたロシアのブレットプルーフ・ホスティングサービスのインフラに接続していた。 ネットワークセキュリティ企業Infobloxは火曜日のブログ投稿で、設定が改ざんされ、DNSクエリをAeza Internationalがホストするシャドーリゾルバーへ転送するようにされた侵害済みルーターを観測したと述べた。財務省は7月、Aezaが複数のサイバー犯罪グループと結び付けられたことを受け、Aezaおよび同社の幹部をドル決済システムから遮断した（参照：米国、インフォスティーラーとランサムウェアをホスティングしたAezaグループを制裁）。 シャドーAezaシステムは通常、GoogleやFacebookのような非常に人気の高いドメインを正しいIPアドレスに解決していた。予測不能な間隔で行われる一部のDNSクエリには、マルウェアや詐欺などの悪意あるコンテンツが返された。Infobloxは、この作戦（2022年半ばから稼働していたようだ）を、「アフィリエイトマーケティング領域の、金銭目的の無名アクター」によるものだとした。 「これだけは強調してもしきれません。DNSリゾルバーは権力を持つ立場にあるのです」とInfobloxは記した。 ハッカーは古いルーターを標的にしたが、2025年にはRedditユーザーの1人が、インターフェースが誤ってインターネットに公開されていた仮想ルーターがハッカーに侵害されたと訴えた。ハッカーはユーザーをrootアカウントから締め出し、暗号資産マイナーを仕込んだ。 この脅威アクターは、DNSハイジャックを、ユーザーをフィンガープリントして2つの異なるアドテックプラットフォームへ誘導するために用いられるトラフィック配信システムと組み合わせていた。 この活動がこれほど長期間検知されなかった理由の一つは、シャドーリゾルバーが特定の形式のDNSクエリにのみ応答する点にある可能性がある。具体的には、Infobloxによれば、ハッカーはEDNS（DNS拡張機構）を無効化していた。これは、元のプロトコル仕様を超えてDNSクエリのサイズを拡張するための広く普及した手法だ。「ほとんどのDNSリゾルバーはEDNS0を有効にしているため、Aezaホストへのクエリは通常、不正な形式の応答になる」と同社は述べた。 Infobloxの脅威インテリジェンス担当バイスプレジデントであるRenée Burton氏はメールで、「この活動は、DNS解決の完全性が企業と家庭の双方を守るうえで極めて重要であることを思い起こさせる。これがなければ、組織は自社デバイスがどこに接続しているのかを制御できない」と述べた。 ルーター（特に小規模オフィス／ホームオフィス向けのルーター）は、その所有者の大半が更新をインストールしない傾向にあるため、恒常的にハッキングの標的となっている。英国のブロードバンド比較サイトの利用者3,000人超を対象にした2025年の調査では、ユーザーの84%がルーターのファームウェアを一度も更新しないと回答した。 メーカーは、ルーターがファームウェア更新を自動的に受け取れるようにする点では改善してきたが、サポート終了（EOL）のルーターは、見た目には通常どおり動作し続けているにもかかわらず、サポートされない。FBIは2025年5月、SOHOルーターの所有者に対し、サポートされていない機器はアップグレードするか、少なくともリモート管理を無効化するよう注意喚起した。 翻訳元:

Compromised routers silently reroute DNS, enabling a powerful Traffic Distribution System (TDS) that forces users to scams and malware via affiliate marketing.

The Russian server hosting company Aéza is known for its involvement in the pro-Kremlin Doppelganger disinformation campaign, which spread propaganda through look-alike clones of major news outlets.

The Russian server hosting company Aéza is known for its involvement in the pro-Kremlin Doppelganger disinformation campaign, which spread propaganda through look-alike clones of major news outlets.

The Russian server hosting company Aéza is known for its involvement in the pro-Kremlin Doppelganger disinformation campaign, which spread propaganda through look-alike clones of major news outlets.

YouTube video by ぷー

The Russian server hosting company Aéza is known for its involvement in the pro-Kremlin Doppelganger disinformation campaign, which spread propaganda through look-alike clones of major news outlets.

Не факт, нам просто прислали список IP, которым необходимо направить требование об удалении Необходимо удалить VPN, либо ограничить доступ к запрещенным ресурсам, либо любым другим способом сделать т...

The Russian server hosting company Aéza is known for its involvement in the pro-Kremlin Doppelganger disinformation campaign, which spread propaganda through look-alike clones of major news outlets.

The Russian server hosting company Aéza is known for its involvement in the pro-Kremlin Doppelganger disinformation campaign, which spread propaganda through look-alike clones of major news outlets.

The Russian server hosting company Aéza is known for its involvement in the pro-Kremlin Doppelganger disinformation campaign, which spread propaganda through look-alike clones of major news outlets.

The Russian server hosting company Aéza is known for its involvement in the pro-Kremlin Doppelganger disinformation campaign, which spread propaganda through look-alike clones of major news outlets.

The Russian server hosting company Aéza is known for its involvement in the pro-Kremlin Doppelganger disinformation campaign, which spread propaganda through look-alike clones of major news outlets.

The Russian server hosting company Aéza is known for its involvement in the pro-Kremlin Doppelganger disinformation campaign, which spread propaganda through look-alike clones of major news outlets.

The Russian server hosting company Aéza is known for its involvement in the pro-Kremlin Doppelganger disinformation campaign, which spread propaganda through look-alike clones of major news outlets.

Aeza, a Russian hosting provider, has begun notifying its users to remove VPN servers that facilitate access to internet resources blocked within Russia. This action follows a directive from Roskomnadzor, Russia's federal communications regulator. Users have been given a 24-hour ultimatum to comply or face potential service termination. The directive specifically targets services that enable access to information or resources restricted on Russian territory. However, the notification lacks specific details regarding the timeline for enforcement or a comprehensive list of affected services. This development underscores the ongoing efforts by Russian authorities to enforce internet censorship through pressure on infrastructure providers. For cybersecurity professionals, this event highlights the increasing role of hosting providers in enforcing state-level censorship measures. The primary impact is on users who rely on Aeza's infrastructure to host VPN services, potentially disrupting their ability to bypass geo-restrictions and access blocked content. This move may signal a broader trend of hosting providers being co-opted into censorship enforcement, with implications for internet freedom and cybersecurity practices in Russia. The lack of specific details in the notification makes it challenging to assess the full scope and impact of this directive.

The Aeza case shows how Western transit and legal shields keep Russian ransomware and disinformation online.

The Russian server hosting company Aéza is known for its involvement in the pro-Kremlin Doppelganger disinformation campaign, which spread propaganda through look-alike clones of major news outlets.

The Russian server hosting company Aéza is known for its involvement in the pro-Kremlin Doppelganger disinformation campaign, which spread propaganda through look-alike clones of major news outlets.

YouTube video by Juan Gabriel - Topic