Das mit den 2-stelligen Domain-Namen ist zwar richtig, siehe auch ct.de und ix.de, aber da muss man keinen Catch-All-DNS drauf einrichten, um zu demonstrieren, dass die Domain funktioniert. vw.de, ct.de und ix.de liefern auch keine IP aus, wenn man <irgendwasvölligneues>.vw.de auflösen will. Das tut nur de.de. Und wenn du dem Link zu borncity gefolgt wärst, hättest du sogar entdeckt, dass dort auf Outlook-Autodiscover mit einem veralteten Zertifikat für eine Exchgange-Kommunikation geantwortet wird. Damit ist zu befürchten, dass man an xxxx.de.de seine Zugangstaten für den legitimen Exchangeserver auf xxxx.de ausliefert, was eine prima Man-in-the-Middle-Attacke ergibt. Auch das sehr beliebte Nachbauen von legitimen Anmeldeseiten z.b. ionos.de.de (Ionos ist bei den Phishern momentan scheinbar besonders beliebt) ist mit so einer Domain nochmal viel einfacher, weil viele Leute den Unterschied zwischen .de und .de.de übersehen werden.
Das ist kein Verhalten, dass man für eine "geparkte" Domain erwartet.