Hazy Hawk 自 2023 年 12 月起持续活跃，此前已以同样手法劫持美国疾控中心（CDC）子域名而引发安全界关注，受害方还涵盖德勤、普华永道、毕马威等企业及多国政府机构。劫持后的子域名并不直接托管内容，而是将访客经流量分发系统（TDS）多跳中转至色情页面、虚假技术支持诈骗、恶意浏览器推送通知及假冒杀毒软件下载页——主要变现模式是广告联盟点击分成，部分页面还伪称访客设备感染病毒并诱导付费"清除"。Infoblox 副总裁 Renée Burton 将其定性为"以学术机构公信力驱动的 adtech 地下生态"，而非传统网络间谍行为。研究人员指出，鉴于全美数千所高校域名空间庞大，目前确认的 34 所极可能只是冰山一角，根治之道在于建立定期审计 DNS 记录的运维规范，在停用云资源的同时强制清理对应的 CNAME 条目。

Ars Technica | SH Consulting | Infoblox