11月11日，火絨安全發文稱 ，近期，火絨安全實驗室監測發現，包括成都奇魯科技有限公司、天津杏仁桉科技有限公司在內的多家軟件廠商通過云控配置方式構建大規模推廣產業鏈。這些廠商利用云端配置指令動態控制軟件推廣行為，實現流量變現。以魯大師為例，其推廣行為包括：利用瀏覽器彈窗推廣“傳奇”類頁游、在未獲用戶明確許可的情況下彈窗安裝第三方軟件、篡改京東網頁鏈接并插入京粉推廣參數以獲取傭金、彈出帶有渠道標識的百度搜索框、植入具有推廣性質且偽裝為正常應用的瀏覽器擴展程序等。

這些廠商在未充分向用戶告知或故意模糊告知相關情況的前提下，利用用戶流量進行變現操作。通過偽裝成正規應用的方式，與用戶“捉迷藏”，使用戶難以識別并定位真正的推廣源頭。此外，這些廠商還采用多種技術對抗手段，如數據加密、代碼混淆、動態加載、多層跳轉等，以阻礙安全分析與行為復現，蓄意隱匿其損害用戶體驗的行為。

火絨安全通過溯源分析發現，這些公司之間存在隱蔽的關聯關系，利用隱藏的結算體系進行利益輸送。例如，天津杏仁桉科技有限公司搭建的推廣結算系統后臺顯示，其與成都奇魯科技有限公司存在密切的業務關聯。此外，這些公司還通過外網構建系統隱藏技術協作關系，進一步逃避監管。

在技術層面，這些推廣模塊通過云控配置實時調整自身行為，根據用戶的系統環境、地理位置、使用時長、是否充值等多維度信息判斷用戶價值，僅對“安全”目標、“小白”用戶啟動推廣行為。例如，魯大師會根據用戶所在地區、下載渠道、是否為技術人員等條件，動態調整推廣策略，避免向高風險用戶投放推廣內容。

推廣方式多樣，包括下載并加載瀏覽器插件、通過任務欄圖標閃爍推廣“傳奇”頁游、篡改瀏覽器主頁、彈出百度搜索框與“傳奇”頁游框等。這些推廣行為不僅影響用戶體驗，還可能涉及隱私泄露和安全風險。