Sicherheitsforscher von Infoblox haben eine bemerkenswerte Kampagne aufgedeckt, bei der Angreifer die Top-Level-Domain .arpa zweckentfremdet haben, um Phishing-Inhalte auf Domains zu hosten, die eigentlich nur für Reverse-DNS-Einträge gedacht sind. Die .arpa-TLD dient normalerweise ausschließlich der Zuordnung von IP-Adressen zu Domainnamen und sollte keine Webinhalte enthalten.
Die Angreifer exploitieren dabei Sicherheitslücken bei DNS-Anbietern wie Cloudflare und Hurricane Electric, um sich Kontrolle über .arpa-Domains zu verschaffen. Ihr Vorgehen ist raffiniert: Sie erwerben IPv6-Adressblöcke, für die ihnen automatisch die entsprechenden .arpa-Subdomains zugewiesen werden. Statt der erwarteten PTR-Einträge erstellen sie jedoch A-Einträge für die Reverse-DNS-Namen.
Um ihre Aktivitäten zu verschleiern, fügen die Cyberkriminellen zufällig generierte Subdomains hinzu und erstellen so einzigartige Fully Qualified Domain Names (FQDNs). Diese Domains gelten als vertrauenswürdig und werden typischerweise nicht blockiert. Die eigentlichen bösartigen Inhalte werden über IP-Adressen von Cloudflares Edge-Netzwerk bereitgestellt, was deren Nachverfolgung erheblich erschwert.
Darüber hinaus dokumentierte Infoblox, dass die Angreifer CNAME-Einträge von bekannten Institutionen aus Bildung, Verwaltung, Medien, Einzelhandel und Telekommunikation gekapert haben. Sie missbrauchen Subdomains dieser legitimen Domains für ihre Phishing-E-Mails – ein Vorgehen, das als “Domain Shadowing” bekannt ist. Dabei werden Subdomains häufig durch gestohlene Zugangsdaten erstellt.
Die Kampagne läuft mindestens seit September 2025 und ist beeindruckend im Umfang: An manchen Tagen wurden über 100 verschiedene Phishing-E-Mail-Kampagnen mit gehackten CNAMEs durchgeführt. Einige der missbrauchten Domains sind bereits seit Jahren Ziel von Attacken. Das in dieser Kampagne eingesetzte Toolkit wird bereits seit 2017 von verschiedenen Bedrohungsakteuren verwendet.