Die Bedrohungsakteure hinter ClearFake, SocGholish und anderen haben Partnerschaften mit einer weiteren Entität namens VexTrio im Rahmen eines massiven „kriminellen Partnerprogramms“ aufgebaut, wie Infoblox herausgefunden hat. VexTrio wird als „größter einzelner bösartiger Traffic-Broker in der Sicherheitsliteratur“ beschrieben und ist seit mindestens 2017 aktiv. Die Gruppe nutzt ein Algorithmus-generiertes Domänengenerierungssystem (DDGA), um betrügerische, riskante, spionierende, unerwünschte Programme und pornografische Inhalte zu verbreiten. Sie betreibt ein Netzwerk von mehr als 70.000 bekannten Domänen und hat etwa 60 Partner, darunter ClearFake, SocGholish und TikTok Refresh. VexTrio kontrolliert mehrere Traffic-Distributionssysteme (TDS), um Besucher basierend auf ihren Profilattributen auf illegitime Inhalte umzuleiten und so Gewinne zu maximieren. Die TDS-Server von VexTrio nutzen HTTP und DNS, wobei letzteres seit Juli 2023 verwendet wird. VexTrio betreibt auch andere TDS-Server wie Keitaro und Parrot, und ist auch als VexTrio-Affiliate aktiv. Es nutzt bekannte Sicherheitslücken in Content Management Systemen wie WordPress und Joomla!, um bösartige Skripte in kompromittierte Websites einzufügen. Infoblox stellte fest, dass eine kompromittierte Website in Südafrika JavaScript von ClearFake, SocGholish und VexTrio enthielt. Darüber hinaus wird vermutet, dass VexTrio auch eigene Cyberkampagnen durchführt und dabei Geld durch die Missbrauch von Empfehlungsprogrammen verdient. Infoblox fasste zusammen, dass VexTrio dank seines komplexen Designs und Netzwerks seit über sechs Jahren unbekannt und erfolgreich ist.