该论文对2026年1月至5月间在VirusTotal（VT）上观察到的约152万个恶意域名进行了纵向研究。研究选取了至少被5个独立VT扫描引擎检测到、且首次出现在研究窗口内的域名。数据集被分为被攻陷域名和攻击者创建域名，后者约占89.3%。结合WHOIS注册记录、被动DNS（PDNS）数据与VT数据集，研究者从八个维度刻画了攻击者行为：时间分布、被攻陷与攻击者创建分类、首次检测时的域名年龄、注册商和顶级域名（TLD）偏好、DNS查询量（作为损害代理）、托管基础设施集中度（IP和ASN级别）、批量注册模式以及品牌仿冒。关键发现包括：大多数攻击者创建的域名寿命短，在创建后数周内被使用；少数注册商和TLD承载了大部分滥用；Cloudflare基础设施被广泛用于域名前端；涉及单个注册商一天内注册数千个域名的批量注册事件普遍存在；多个全球品牌（尤其是WhatsApp和Google）被大量仿冒。研究者将标注后的数据集公开在GitHub上以供进一步研究。