Isso não é uma falsificação de DNS. O ISP está ativamente alterando solicitações da web e injetando seu próprio adware. Se você observar cuidadosamente seu snippet, a variável que armazena uma solicitação GET tem como parte dessa solicitação um comando para enviar parte de um arquivo javascript do google através de seu próprio código.
Uma rápida olhada na web para reclamações semelhantes aponta para o ISP pegando alguma tag de script aleatória (a primeira listada? all?) na página retornada, e reescrevendo-a para apontar para seu próprio script de adware que então canaliza o script original através de seus servidores. Se eu tivesse que adivinhar, eu diria que eles provavelmente também estão fazendo isso para seu próprio lucro (receita de anúncios do Google, etc., não apenas alimentando seus anúncios, mas possivelmente reescrevendo todas as chamadas do Google Analytics do script de origem para fazer com que pareça seu conteúdo etc etc).
Você deve deixá-los, isso é obscuro e eles mentem sobre isso. Você também pode querer deixar uma linha para o google. Eles podem ou não estar mexendo com suas análises, mas o que estão fazendo é contra a política do Google para parceiros de anúncios.
Eu ficaria curioso em saber como é uma solicitação https ...