Triad Nexus dient nach Darstellung von Silent Push als technisches Rückgrat für Betrug, Geldwäsche und illegales Glücksspiel. Den Schwerpunkt bilden Anlagebetrugsmaschen mit Kryptowährungen, sogenannte Cryptocurrency Investment Fraud (CIF) oder „pig butchering", die laut dem Bericht für Verluste von mehr als 200 Millionen US-Dollar verantwortlich sind.
Kern der Strategie nach den US-Sanktionen ist das sogenannte Infrastructure Laundering. Dabei missbraucht die Gruppe Cloud-Dienste von Amazon, Cloudflare, Google und Microsoft und beschafft die nötigen Konten über sogenannte Account Mules. Auf diese Weise erhielten die Betrugsseiten laut Silent Push den „Anschein von Legitimität" sowie hohe Geschwindigkeit und professionelles Auftreten, dem selbst technisch versierte westliche Nutzer schwer widerstehen könnten. Gleichzeitig setzt die Gruppe weiterhin auf AS152194 (CTG Server Limited) als sogenanntes Bulletproof-Rückgrat ihrer Operation.
Ein zweiter Schwerpunkt ist der Markenmissbrauch. Triad Nexus erstellt pixelgenaue Kopien der Websites zahlreicher Unternehmen, darunter Cartier, Chanel, Coach, eBay, Kering, Macy’s, Rakuten, Tiffany, TripAdvisor und Vietnam Post. Auch Finanzdienstleister waren betroffen, etwa Bank of America, Goldman Sachs, Etsy, iTrustCapital, MoneyGram, Royal Bank of Canada, Wells Fargo und Western Union.
Um der Beobachtung nach den Sanktionen zu entgehen, richtete die Gruppe eine Sperre für die USA ein: Besucher mit US-amerikanischen IP-Adressen können die illegalen Domains nicht mehr aufrufen. Parallel dazu zieht sich das Netzwerk laut Silent Push aus der direkten Präsenz in den USA zurück und expandiert verstärkt in den spanischsprachigen, vietnamesischen und indonesischen Markt – mit lokalisierten Vorlagen, um den Zufluss der illegalen Gewinne zu sichern.
Zur Distanzierung von der Marke Funnull nutzt Triad Nexus bereits seit der Zeit vor den US-Sanktionen „saubere" Tarnfirmen, darunter Bole CDN, CDN1[.]ai, Yunray[.]ai, CDN5[.]com und CTGCDN. Zusätzlich begann die Gruppe, Datenverkehr über mehr als 175 zufällig generierte CNAME-Domains zu leiten. Jede davon wurde unterschiedlich konfiguriert, um die Kundeninfrastruktur zu segmentieren und auf mehrere Unternehmensdienste abzubilden.
Bereits 2024 hatte Silent Push 200.000 einzelne Hostnamen analysiert, die über Funnull als Proxy liefen, und die Gruppe sowohl mit dem Polyfill-Angriff als auch mit Phishing-Maschen gegen große Einzelhandelsmarken in Verbindung gebracht.
