محرك الإخفاء الكامن وراء كل عملية احتيال لم ترَها من قبل. قام PhishDestroy بمسح أكثر من 50,000 موقع، واكتشف 1,565 لوحة إدارة Keitaro TDS، ولم يعثر على أي حالة استخدام مشروعة. كانت كل لوحة من هذه اللوحات مرتبطة بالاحتيال في مجال العملات المشفرة، أو التصيد الاحتيالي، أو توزيع البرامج الضارة، أو ما هو أسوأ من ذلك. ومن بين عملائها: EvilCorp، وبرنامج الفدية LockBit، وVexTrio. تم الآن إصدار مجموعة أدوات الكشف مفتوحة المصدر، ومنهجية من 7 نقاط، وملف CSV كامل للوحات التحكم.
~10 دقائق للقراءة· تم التحديث مارس 2026· معلومات «PhishDestroy»
تم العثور على 1,565 لوحةنسبة البرامج الضارة 100%7 طرق للكشفإصدار 4 أدوات
0
تم العثور على لوحات التحكم
50,000+
المواقع التي تم فحصها
0%
الاستخدامات المشروعة
7
طرق الكشف
ما هو Keitaro TDS؟
Keitaro TDS هو نظام تجاري لتوزيع حركة المرور تبيعه شركة شركة «أبليتيني» ذات المسؤولية المحدودة، وهي شركة تأسست في إستونيا. ظاهريًّا، يُروَّج لنفسه باعتباره أداة لإدارة حركة المرور مخصصة للمسوقين التابعين. أما في الواقع، فهو محرك الإخفاء الأكثر انتشارًا على الإطلاق في النظام البيئي العالمي للعمليات الاحتيالية.
«الإخفاء» هو فن عرض محتوى مختلف لزوار مختلفين. عندما يزور باحث أمني أو مراجع إعلانات أو ضابط في أجهزة إنفاذ القانون عنوان URL ما، يقوم «كيتارو» بالتعرف عليهم وعرض صفحة نظيفة وبريئة لهم. وعندما يزور ضحية حقيقية نفس الرابط، يتم إعادة توجيهه إلى عمليات احتيال متعلقة بالعملات المشفرة، أو صفحات التصيد الاحتيالي، أو تنزيلات البرامج الضارة، أو مواقع التجارة الإلكترونية الاحتيالية. ولا يرى الضحية أبدًا النسخة النظيفة. ولا يرى المحلل أبدًا عملية الاحتيال.
تتراوح أسعار «كيتارو» بين من 40 يورو إلى 400 يورو شهريًّا، مما يجعلها بنية تحتية لمكافحة الاحتيال على مستوى المؤسسات. وهي تخزن بيانات الزوار لمدة تصل إلى 9.75 سنة، مما يوفر للمشغلين مجموعة بيانات ضخمة تضم بصمات الضحايا والبيانات الجغرافية والملامح السلوكية. ويتم تخزين جميع هذه البيانات على البنية التحتية لـ AWS، مما يعني أن «أمازون» تستضيف، دون علمها، البنية التحتية لآلاف العمليات الاحتيالية.
الشركة الوهمية
شركة «أبليتيني» ذات المسؤولية المحدودة تعمل الشركة من إستونيا، مستفيدةً من برنامج «الإقامة الإلكترونية» (e-Residency) الذي يقدمه البلد وقوانين الخصوصية المواتية للشركات. تحافظ الشركة على مظهر من الشرعية من خلال التسويق الاحترافي والوثائق ودعم العملاء — في حين أن كل استخدام قابل للقياس لمنتجها مرتبط بنشاط إجرامي. وتتقاضى الشركة ما بين 40 و400 يورو شهريًا مقابل ما يُعد في الواقع منصة «الاحتيال كخدمة» مع الاحتفاظ بالبيانات لمدة تقارب العقد من الزمن.
الأرقام: 1,565 لوحة، ولا توجد أي لوحة شرعية
بدأ تحقيق PhishDestroy بفرضية بسيطة: إذا كان لـ Keitaro TDS استخدامات مشروعة، فيجب أن نكتشفها على نطاق واسع. قمنا بمسح أكثر من 50,000 موقع باستخدام مزيج من الأدوات الآلية والتحقق اليدوي، مع التركيز بشكل خاص على البحث عن بصمات «Keitaro TDS». وما توصلنا إليه كان واضحًا لا لبس فيه.
1,565 لوحة إدارة Keitaro نشطة تم اكتشافها. وقمنا بتحليل كل واحدة منها. والنتيجة: لا توجد عمليات نشر شرعية. لم تكن أي مجموعة من هذه المجموعات تُستخدم في التسويق التابع القانوني، أو اختبارات A/B، أو أي غرض آخر غير ضار. فكل المجموعات — بنسبة 100٪ — كانت مرتبطة بنشاط إجرامي.
1,565
الألواح النشطة
100%
معدل الهجمات الخبيثة
50 ألف+
المواقع التي تم فحصها
9.75 سنة
الحد الأقصى لمدة الاحتفاظ بالبيانات
تفصيل فئات الإساءة
وقد تم توزيع الـ 1,565 لوحة عبر ست فئات رئيسية للاحتيال. وكانت العديد من اللوحات تخدم فئات متعددة في آن واحد، باستخدام نظام توجيه حركة المرور الخاص بـ «كيتارو» لتوجيه الضحايا إلى أنواع مختلفة من عمليات الاحتيال بناءً على الموقع الجغرافي أو الجهاز أو الوقت من اليوم.
الكازينوهات غير المرخصة، ومنصات المراهنات المزورة، وسرقة الودائع
ملاحظة منهجية
تم التحقق من كل لوحة من خلال طريقتين مستقلتين للكشف على الأقل قبل تصنيفها. وتم مراجعة النتائج الإيجابية الخاطئة يدويًّا واستبعادها. ولا يمثل الرقم 1,565 سوى عمليات تثبيت Keitaro المؤكدة والنشطة — أما العدد الفعلي لعمليات النشر، بما في ذلك تلك الموجودة خلف طبقات حماية إضافية، فهو بالتأكيد أعلى من ذلك.
قائمة أسماء المتهمين في القضايا الجنائية
لا يقتصر استخدام Keitaro TDS على المحتالين الصغار فحسب. بل إنه البنية التحتية المفضلة لإخفاء الهوية لدى بعض أخطر المنظمات الإجرامية الإلكترونية على وجه الأرض. وفيما يلي قائمة بالعملاء الموثقين:
EvilCorp
تستخدم عصابة الجرائم الإلكترونية الروسية الخاضعة للعقوبات شبكة «كيتارو» للتحايل على العقوبات الدولية. فمن خلال إخفاء عملياتها وراء توزيع حركة المرور عبر «كيتارو»، تتفادى شركة «إيفيل كورب» الإجراءات الأمنية المصممة خصيصًا لإيقاف أنشطتها. فكل نقرة يتم توجيهها عبر «كيتارو» تمثل انتهاكًا للعقوبات، وهو ما يتيحه برنامج شركة «أبليتيني أو يو».
برنامج الفدية LockBit
استغلت مجموعة «LockBit» المتخصصة في برامج الفدية برنامج «Keitaro» لتوزيع البرمجيات الخبيثة، مستفيدةً من قدراته على الإخفاء لضمان أن الأهداف الحقيقية هي وحدها التي تتلقى حمولات برامج الفدية، في حين لا ترى بيئات الاختبار الأمنية والباحثون سوى محتوى غير ضار. وقد شكّل برنامج «Keitaro» عاملًا مضاعفًا للقوة في واحدة من أكثر عمليات برامج الفدية تدميرًا في التاريخ.
VexTrio
أكبر عميل معروف لشركة «كيتارو». تعمل شركة «فيكس تريو» مع أكثر من 60 شريكًا والأدوات التحكمية 86,832+ نطاقًا، حيث تقوم جميعها بتوجيه حركة المرور عبر محرك التوزيع الخاص بـ«كيتارو». وتمثل هذه العملية وحدها جزءًا هائلاً من حركة الإعلانات الضارة على الإنترنت، ويُعد «كيتارو» العمود الفقري الذي يحافظ على إخفاء هذه الحركة.
ClearFake
يقوم برنامج «ClearFake» بإدراج رسائل تحديث مزيفة للمتصفح في المواقع الإلكترونية المخترقة، مما يؤدي إلى توزيع البرامج الضارة عندما ينقر الضحايا على زر «تحديث». وتضمن تقنية الإخفاء التي يستخدمها «Keitaro» أن الزوار الحقيقيين هم وحدهم من يرون الطبقة التراكبية الخبيثة — بينما ترى برامج الفحص الأمني الموقع الأصلي النظيف. والنتيجة: توزيع البرامج الضارة بمعدلات كشف تقترب من الصفر.
FakeBat
FakeBat هو برنامج تحميل برمجيات خبيثة يتم توزيعه عبر حملات إعلانية ضارة. يقوم Keitaro بتوجيه حركة المرور الإعلانية عبر محرك اتخاذ القرار: حيث يتم إعادة توجيه أدوات الأمان إلى صفحات تنزيل برامج شرعية، بينما يتم تزويد المستخدمين الحقيقيين ببرامج تثبيت مزودة ببرامج حصان طروادة. ويجعل Keitaro حملات الإعلانات الخبيثة التي تنفذها FakeBat غير مرئية عمليًّا أمام فرق الأمان في منصات الإعلانات.
الشبيه
حملة تضليل مرتبطة بالدولة الروسية تستخدم «كيتارو» لنشر الدعاية عبر منصات التواصل الاجتماعي الغربية. وتضمن تقنية «البصمة الجغرافية وبصمة الجهاز» التي يعتمد عليها «كيتارو» أن يرى مشرفو المحتوى ومدققو الحقائق محتوى مختلفًا عما تراه الفئات المستهدفة. حرب إعلامية مدعومة ببرمجيات إستونية تجارية.
"لقد عثرنا على آثار لـ«كيتارو» في كل عملية جريمة إلكترونية كبرى حققنا فيها خلال الأشهر الـ18 الماضية. وهذا ليس من قبيل الصدفة — بل هو المعيار المتبع في أوساط المجرمين."
— فريق أبحاث PhishDestroy
منهجية الكشف المكونة من 7 نقاط
خلال هذا التحقيق، طورت «PhishDestroy» سبع طرق مستقلة للتعرف على عمليات نشر برنامج «Keitaro TDS». تستهدف كل طريقة بصمة مختلفة يتركها برنامج «Keitaro»، وتشكل هذه الطرق مجتمعة إطارًا شاملاً للكشف، وهو متاح الآن كأدوات مفتوحة المصدر.
1. /click_api/v3 نقطة النهاية
نقطة نهاية واجهة برمجة التطبيقات (API) الأساسية لـ Keitaro لمعالجة أحداث النقر. هذا المسار مبرمج بشكل ثابت في البرنامج وموجود في كل تثبيت. ويُعد البحث عن نقطة النهاية هذه أسرع طريقة للتأكد من وجود نسخة من Keitaro. ويُعد تلقي استجابة برقم 200 أو 302 على هذا المسار دليلاً شبه مؤكد على وجود البرنامج.
2. _lp / _token / _subid معلمات عناوين URL
يقوم «كيتارو» بإضافة معلمات تتبع مميزة إلى عناوين URL أثناء سلاسل إعادة التوجيه. الـ _lp يحدد هذا المعامل الصفحة المقصودة، _token تقوم بمصادقة الجلسة، و _subid تتتبع مصادر الشركاء التابعين الفرعيين. هذه المعلمات خاصة بـ «Keitaro» ولا تظهر إلا نادرًا في أنظمة إدارة حركة المرور الشرعية.
3. ملفات تعريف الارتباط الخاصة بـ «كيتارو»
يضع «كيتارو» ملفات تعريف ارتباط مميزة لتتبع جلسات الزوار والحفاظ على حالة الإخفاء. تتبع ملفات تعريف الارتباط هذه قواعد تسمية تختلف عن تلك المتبعة في منصات التحليلات القياسية، مما يجعل من الممكن التعرف عليها من خلال فحص المتصفح أو التحليل الآلي لملفات تعريف الارتباط.
4. أنماط رؤوس الاستجابة
تحتوي استجابات خادم «كيتارو» على أنماط مميزة لرؤوس HTTP، بما في ذلك توجيهات محددة للتحكم في ذاكرة التخزين المؤقت، ورؤوس مخصصة، وسلاسل تعريف الخادم التي تختلف عن خوادم الويب القياسية. وتظل هذه الرؤوس قائمة حتى عندما يحاول المشغلون تخصيص إعداداتهم.
5. سلاسل إعادة التوجيه في جافا سكريبت
يستخدم «كيتارو» عمليات إعادة توجيه متعددة المراحل عبر جافا سكريبت لتقييم «بصمات» الزوار قبل اتخاذ قرار بشأن عرض الصفحة الاحتيالية أو الصفحة الآمنة. وتتبع سلاسل إعادة التوجيه هذه أنماطًا يمكن التنبؤ بها — مثل أسماء متغيرات محددة، وتسلسلات زمنية، ومنطق تقييم — يمكن اكتشافها من خلال تحليل جافا سكريبت الثابت والديناميكي.
خريطة الحرارة العالمية: تم رصد 1,565 لوحة TDS من طراز «كيتارو» في جميع أنحاء العالم، ولم يتم العثور على أي استخدامات مشروعة لها
6. تحليل أنماط المجالات
يميل مشغلو شبكة «كيتارو» إلى تسجيل النطاقات وفقًا لقواعد تسمية وأنماط تسجيل يمكن التنبؤ بها. ويكشف التحليل الشامل للنطاقات عن مجموعات من النطاقات التي تتشابه في بيانات WHOIS وتواريخ التسجيل وتكوينات خوادم الأسماء ومزودي خدمات الاستضافة — وكلها عوامل تشير إلى عمليات نشر منسقة لشبكة «كيتارو».
7. تحديد هوية لوحة الإدارة
يمكن الوصول إلى لوحات إدارة Keitaro عبر مسارات معروفة، وهي تعرض هياكل HTML مميزة وأسماء فئات CSS وملفات JavaScript. وحتى عندما يقوم المشغلون بتغيير عنوان URL الافتراضي لتسجيل الدخول، فإن إطار عمل الواجهة الأمامية للوحة يترك آثارًا يمكن التعرف عليها، والتي يمكن اكتشافها من خلال تعداد المسارات وبصمات المحتوى.
الدفاع المتعدد المستويات
لا توجد طريقة كشف واحدة مضمونة تمامًا. فقد يقوم المخترقون المتمرسون بتعطيل أو تعديل بصمات فردية. ولهذا السبب تعمل منهجية النقاط السبع كنظام متعدد الطبقات — فحتى لو تمكن المخترق من إزالة ثلاث أو أربع بصمات، فإن الطرق المتبقية ستظل تكتشف عملية النشر. في الاختبارات التي أجريناها، كان من الممكن الكشف عن كل لوحة من لوحات «كيتارو» بواسطة أربع طرق على الأقل من بين الطرق السبع.
خريطة البنية التحتية العالمية
تتوزع لوحات «كيتارو» البالغ عددها 1,565 لوحة عبر بنية تحتية عالمية للاستضافة تفضل مزودي خدمات الخوادم الافتراضية الخاصة (VPS) الرخيصة والسلطات القضائية التي تتسم ببطء الاستجابة لحالات إساءة الاستخدام. وفيما يلي مواقع هذه اللوحات:
المنطقة
مزودي خدمات الاستضافة
ملاحظات
الولايات المتحدة
DigitalOcean، Vultr
أكبر تجمع للوحات. توفر خدمات الاستضافة الموجودة في الولايات المتحدة أوقات استجابة سريعة للمستخدمين في أمريكا الشمالية.
هولندا
خوادم VPS متنوعة
تحظى بشعبية في الحملات الموجهة إلى السوق الأوروبية. سياسات استضافة مرنة.
ألمانيا
هيتزنر، متنوعة
Hub رئيسي لعمليات التصيد الاحتيالي والاحتيال في مجال التجارة الإلكترونية التي تستهدف الاتحاد الأوروبي.
روسيا
مختلف أنواع الدروع الواقية من الرصاص
مقر رئيسي للعديد من مشغلي الخدمات. مزودي خدمات الاستضافة الذين لا يطبقون أي إجراءات لمكافحة إساءة الاستخدام.
المملكة المتحدة
أنواع مختلفة من السحب
يُستخدم لاستهداف المؤسسات المالية والخدمات الحكومية في المملكة المتحدة.
هونغ كونغ
مجموعة فيمو
مجموعة متميزة من الحسابات المرتبطة بعمليات الاحتيال في مجال العملات المشفرة التي تستهدف آسيا. تعمل «مجموعة Femo» كمجموعة منسقة.
الهيمنة الأمريكية
تستضيف الولايات المتحدة أكبر تجمع لخوادم Keitaro، ولا سيما على منصتي DigitalOcean وVultr. وهذان مزودان رئيسيان للخدمات السحابية يقومان بمعالجة تقارير إساءة الاستخدام — لكن حجم عمليات النشر والسرعة التي ينشئ بها المشغلون مثيلات جديدة تجعل فرق مكافحة إساءة الاستخدام في سباق مستمر للحاق بالركب.
مجموعة «فيمو»
مجموعة متميزة من لوحات «كيتارو» تعمل من خلال البنية التحتية في هونغ كونغ، وتستهدف الأسواق الآسيوية بعمليات احتيال تتعلق بالعملات المشفرة والمقامرة. وتُظهر «مجموعة فيمو» أنماط نشر منسقة تشير إلى وجود مشغل واحد أو مجموعة منظمة تدير عشرات اللوحات في آن واحد.
البنية الخلفية لـ AWS
بغض النظر عن المكان الذي تُستضاف فيه لوحات الواجهة الأمامية، فإن نظام تخزين البيانات الأساسي لـ«كيتارو» يعمل على خدمات أمازون السحابية (AWS). وهذا يعني أن «بصمات» الزوار وسجلات إعادة التوجيه وبيانات الاستهداف الخاصة بملايين الضحايا المحتملين لعمليات الاحتيال مخزنة على البنية التحتية لشركة أمازون. وبفضل فترة الاحتفاظ بالبيانات التي تصل إلى 9.75 سنوات، تستضيف AWS واحدة من أكبر قواعد البيانات الموجودة للضحايا لعمليات الاحتيال.
إصدار أدوات مفتوحة المصدر
بالتوازي مع هذا التحقيق، تطلق PhishDestroy مجموعة أدوات كشف كاملة مفتوحة المصدر. جميع الأدوات مجانية، ولا تتطلب أي مفاتيح واجهة برمجة التطبيقات (API)، ويمكن نشرها على الفور. وتشمل المجموعة مجموعة البيانات الكاملة التي تضم 1,565 لوحة تحكم.
يتم نشر جميع الأدوات والبيانات والأدلة على phishdestroy.io/ScamIntelLogs/keitaro/. هذا المستودع متاح للجمهور وسيتم تحديثه كلما تم اكتشاف لوحات جديدة. ونرحب بمساهمات المجتمع وطرق الكشف الإضافية.
الكشف، الإبلاغ، التفكيك
كيف اكتشفنا لوحات Keitaro TDS — منهجية تحديد البصمة تدفق حركة المرور في Keitaro TDS — كيف تقوم الألواح الخبيثة بإعادة توجيه الضحايا
Keitaro TDS هي البنية التحتية الخفية التي تُبقي عمليات الاحتيال قائمة. فكل لوحة تبلغ عنها، وكل عملية كشف تقوم بها، وكل مجموعة بيانات تشاركها، تساعد في تفكيك هذا النظام. استخدم الأدوات. شارك البيانات. أبلغ عما تجده.
إشعار بشأن الشفافية. PhishDestroy هو مشروع مستقل وغير تجاري. قد تعكس أبحاثنا تحيزًا متأصلًا ضد البنية التحتية للاحتيال والخدمات التي تتيحها. ونشجع القراء على تقييم جميع المواد تقييمًا نقديًا ومستقلًا. اقرأ بيان الشفافية الكامل الخاص بنا →