Untersuchung zu ScamIntelLogs + Veröffentlichung des Tools
Keitaro TDS: 1.500 Panels offengelegt und keine legitime Verwendung gefunden
Die Tarn-Engine hinter jedem Betrug, den Sie noch nie gesehen haben. PhishDestroy hat über 50.000 Websites gescannt, 1.565 Keitaro-TDS-Admin-Panels entdeckt und dabei keinen einzigen legitimen Einsatz gefunden. Jedes einzelne Panel stand in Verbindung mit Krypto-Betrug, Phishing, der Verbreitung von Malware oder Schlimmerem. Zu den Kunden zählen EvilCorp, die Ransomware LockBit und VexTrio. Open-Source-Erkennungstoolkit, 7-Punkte-Methodik und vollständiges Panel-CSV jetzt veröffentlicht.
~10 Minuten Lesezeit· Aktualisiert März 2026· PhishDestroy Intelligence
Keitaro TDS ist ein kommerzielles Verkehrsverteilungssystem, das von Gib dein Bestes, ein in Estland. Auf den ersten Blick präsentiert es sich als Tool zur Traffic-Verwaltung für Affiliate-Vermarkter. In der Praxis ist es jedoch die am weitesten verbreitete Cloaking-Engine im globalen Betrugsökosystem.
Cloaking ist die Kunst, verschiedenen Besuchern unterschiedliche Inhalte anzuzeigen. Wenn ein Sicherheitsforscher, ein Werbekontrolleur oder ein Strafverfolgungsbeamter eine URL aufruft, erkennt Keitaro diese Personen und zeigt ihnen eine saubere, harmlose Seite an. Wenn ein echtes Opfer dieselbe URL aufruft, wird es zu Krypto-Betrugsseiten, Phishing-Seiten, Malware-Downloads oder betrügerischen E-Commerce-Seiten weitergeleitet. Das Opfer sieht niemals die saubere Version. Der Analyst sieht niemals den Betrug.
Die Preise bei Keitaro reichen von 40 bis 400 Euro pro Monatund positioniert es als Betrugsbekämpfungsinfrastruktur für Unternehmen. Es speichert Besucherdaten für bis zu 9,75 Jahre, wodurch die Betreiber über einen riesigen Datensatz mit Fingerabdrücken der Opfer, geografischen Daten und Verhaltensprofilen verfügen. All diese Daten werden auf AWS-InfrastrukturDas bedeutet, dass Amazon unwissentlich das Backend für Tausende von Betrugsoperationen bereitstellt.
Briefkastenfirma
Gib dein Bestes Das Unternehmen hat seinen Sitz in Estland und nutzt dort das E-Residency-Programm sowie die günstigen Datenschutzgesetze für Unternehmen. Durch professionelles Marketing, Dokumentation und Kundensupport vermittelt das Unternehmen den Anschein von Seriosität – dabei steht jeder nachweisbare Einsatz seines Produkts in Verbindung mit kriminellen Aktivitäten. Für eine Plattform, die im Grunde genommen ein „Scam-as-a-Service“-Angebot darstellt und Daten fast ein Jahrzehnt lang speichert, verlangen sie 40 bis 400 Euro pro Monat.
Die Zahlen: 1.565 Panels, null legitime
Die Untersuchung von PhishDestroy begann mit einer einfachen Hypothese: Wenn Keitaro TDS legitime Anwendungsfälle hat, müssten wir diese in großem Umfang finden. Wir haben gescannt Über 50.000 Websites unter Einsatz einer Kombination aus automatisierten Tools und manueller Überprüfung, wobei wir gezielt nach Keitaro-TDS-Fingerabdrücken suchten. Was wir fanden, war eindeutig.
1.565 aktive Keitaro-Admin-Panels wurden entdeckt. Wir haben jeden einzelnen davon analysiert. Das Ergebnis: keine legitimen Bereitstellungen. Kein einziges Panel wurde für legales Affiliate-Marketing, A/B-Tests oder andere harmlose Zwecke genutzt. Jedes einzelne Panel – zu 100 % – stand in Verbindung mit kriminellen Aktivitäten.
1,565
Aktive Felder
100 %
Anteil bösartiger Dateien
50.000+
Durchsuchte Websites
Neuneinhalb Jahre
Maximale Aufbewahrungsdauer
Aufschlüsselung nach Missbrauchskategorien
Die 1.565 Panels verteilten sich auf sechs Hauptkategorien von Missbrauch. Viele Panels dienten gleichzeitig mehreren Kategorien, wobei Keitaros Traffic-Routing genutzt wurde, um Opfer je nach geografischem Standort, Gerät oder Tageszeit auf verschiedene Betrugsarten zu leiten.
Das Ausspähen von Zugangsdaten bei Banken, E-Mail-Anbietern und sozialen Medien
Verbreitung von Malware
Lieferung von Loadern, Vorbereitung von Ransomware, Drive-by-Downloads
Betrug im E-Commerce
Fake-Shops, gefälschte Waren, Skimming von Zahlungskarten
Betrug bei Online-Dating
Liebesbetrug, Landingpages für Sextortion, gefälschte Profile
Glücksspielbetrug
Nicht lizenzierte Casinos, manipulierte Wettplattformen, Diebstahl von Einzahlungen
Anmerkung zur Methodik
Jedes Panel wurde vor der Klassifizierung anhand von mindestens zwei unabhängigen Erkennungsmethoden überprüft. Falsch-positive Ergebnisse wurden manuell überprüft und ausgeschlossen. Die Zahl von 1.565 umfasst lediglich bestätigte, aktive Keitaro-Installationen – die tatsächliche Anzahl der Bereitstellungen, einschließlich derjenigen hinter zusätzlichen Schutzebenen, ist sicherlich höher.
Namentliche Aufruf der Strafverteidigungsmandanten
Keitaro TDS wird nicht nur von Kleinkriminellen genutzt. Es ist die bevorzugte Verschleierungsinfrastruktur einiger der gefährlichsten Cyberkriminellen-Organisationen der Welt. Hier sind die dokumentierten Kunden:
EvilCorp
Das sanktionierte russische Cyberkriminalitätssyndikat nutzt Keitaro, um internationale Sanktionen zu umgehen. Indem EvilCorp seine Aktivitäten hinter Keitaros Datenverkehr versteckt, umgeht das Unternehmen genau jene Sicherheitskontrollen, die eigentlich dazu dienen, es auszuschalten. Jeder Klick, der über Keitaro geleitet wird, stellt einen Verstoß gegen die Sanktionen dar, der durch die Software von Apliteni OU ermöglicht wird.
LockBit-Ransomware
Die Ransomware-Gruppe LockBit nutzte Keitaro zur Verbreitung von Malware und setzte dessen Verschleierungsfunktionen ein, um sicherzustellen, dass nur die eigentlichen Ziele mit Ransomware-Payloads infiziert wurden, während Sicherheits-Sandboxes und Forscher harmlose Inhalte zu sehen bekamen. Keitaro wirkte als Kraftverstärker für eine der zerstörerischsten Ransomware-Aktionen der Geschichte.
VexTrio
Der größte bekannte Keitaro-Kunde. VexTrio arbeitet mit über 60 Partner und Bedienelemente 86.832+ Domains, die alle ihren Datenverkehr über Keitaros Verteilungs-Engine leiten. Dieser einzelne Vorgang macht einen erheblichen Teil des bösartigen Werbedatenverkehrs im Internet aus, und Keitaro ist das Rückgrat, das dafür sorgt, dass dieser unsichtbar bleibt.
ClearFake
ClearFake fügt gefälschte Aufforderungen zu Browser-Updates in kompromittierte Websites ein und verbreitet Malware, sobald die Opfer auf „Aktualisieren“ klicken. Keitaros Cloaking-Funktion sorgt dafür, dass nur echte Besucher das bösartige Overlay sehen – Sicherheitsscanner erkennen hingegen die ursprüngliche, saubere Website. Das Ergebnis: Malware-Verbreitung mit einer Erkennungsrate von nahezu null.
FakeBat
FakeBat ist ein Malware-Loader, der über bösartige Werbekampagnen verbreitet wird. Keitaro leitet den Werbetraffic über eine Entscheidungs-Engine um: Sicherheitsprogramme werden auf legitime Software-Downloadseiten weitergeleitet, während echten Nutzern mit Trojanern infizierte Installationsprogramme angezeigt werden. Keitaro macht die Malvertising-Kampagnen von FakeBat für die Sicherheitsteams der Werbeplattformen praktisch unsichtbar.
Doppelgänger
Eine staatlich geförderte russische Desinformationskampagne, die Keitaro nutzt, um Propaganda in westlichen sozialen Medien zu verbreiten. Durch Keitaros geografisches und gerätebasiertes Fingerprinting wird sichergestellt, dass Content-Moderatoren und Faktenprüfer andere Inhalte sehen als die Zielgruppen. Informationskrieg, unterstützt durch kommerzielle estnische Software.
„Wir haben bei jeder größeren Cyberkriminalitätsaktion, die wir in den letzten 18 Monaten untersucht haben, Spuren von Keitaro gefunden. Das ist kein Zufall – es ist der Industriestandard für Kriminelle.“
— PhishDestroy-Forschungsteam
7-Punkte-Erkennungsmethode
Im Rahmen dieser Untersuchung entwickelte PhishDestroy sieben unabhängige Methoden zur Identifizierung von Keitaro-TDS-Installationen. Jede Methode zielt auf einen anderen Fingerabdruck ab, den Keitaro hinterlässt, und zusammen bilden sie ein umfassendes Erkennungssystem, das nun als Open-Source-Tool zur Verfügung steht.
1. /click_api/v3 Endpunkt
Keitaros zentraler API-Endpunkt für die Verarbeitung von Klickereignissen. Dieser Pfad ist fest in der Software hinterlegt und bei jeder Installation vorhanden. Die Überprüfung dieses Endpunkts ist der schnellste Weg, um eine Keitaro-Bereitstellung zu bestätigen. Eine 200- oder 302-Antwort unter diesem Pfad ist ein nahezu sicherer Hinweis auf eine positive Identifizierung.
2. _lp / _token / _subid URL-Parameter
Keitaro fügt URLs während Weiterleitungssequenzen spezifische Tracking-Parameter hinzu. Die _lp Der Parameter identifiziert die Zielseite, _token unterstützt die Sitzungsauthentifizierung und _subid erfasst die Quellen von Unterpartnern. Diese Parameter sind spezifisch für Keitaro und tauchen in seriösen Traffic-Management-Systemen nur selten auf.
3. Keitaro-spezifische Cookies
Keitaro setzt spezielle Cookies, um Besuchersitzungen zu verfolgen und den Cloaking-Status aufrechtzuerhalten. Diese Cookies folgen anderen Namenskonventionen als herkömmliche Analyseplattformen, wodurch sie durch eine Browser-Überprüfung oder automatisierte Cookie-Analyse identifiziert werden können.
4. Muster für Antwort-Header
Die Serverantworten von Keitaro weisen charakteristische HTTP-Header-Muster auf, darunter bestimmte Cache-Control-Anweisungen, benutzerdefinierte Header und Zeichenfolgen zur Serveridentifizierung, die sich von denen herkömmlicher Webserver unterscheiden. Diese Header bleiben auch dann bestehen, wenn Betreiber versuchen, ihre Installationen anzupassen.
5. JavaScript-Weiterleitungs-Ketten
Keitaro nutzt mehrstufige JavaScript-Weiterleitungen, um die Fingerabdrücke der Besucher auszuwerten, bevor entschieden wird, ob die Betrugsseite oder die saubere Seite angezeigt wird. Diese Weiterleitungsketten folgen vorhersehbaren Mustern – bestimmte Variablennamen, zeitliche Abläufe und Auswertungslogik –, die durch statische und dynamische JavaScript-Analysen erkannt werden können.
Keitaro-Betreiber registrieren Domains in der Regel nach vorhersehbaren Namenskonventionen und Registrierungsmustern. Eine Analyse großer Domain-Mengen zeigt Gruppen von Domains mit ähnlichen WHOIS-Daten, Registrierungsdaten, Nameserver-Konfigurationen und Hosting-Anbietern – allesamt Hinweise auf koordinierte Keitaro-Implementierungen.
7. Fingerabdruckerkennung im Admin-Bereich
Auf die Keitaro-Admin-Panels kann über bekannte Pfade zugegriffen werden, und sie geben charakteristische HTML-Strukturen, CSS-Klassennamen und JavaScript-Dateien zurück. Selbst wenn Administratoren die Standard-Anmelde-URL ändern, hinterlässt das Frontend-Framework des Panels identifizierbare Spuren, die durch Pfadaufzählung und Content-Fingerprinting erkannt werden können.
Mehrschichtige Verteidigung
Keine Erkennungsmethode ist absolut sicher. Erfahrene Angreifer können einzelne Erkennungsmerkmale deaktivieren oder verändern. Deshalb funktioniert die 7-Punkte-Methode als mehrschichtiges System – selbst wenn ein Angreifer drei oder vier Erkennungsmerkmale beseitigt, werden die verbleibenden Methoden den Einsatz weiterhin melden. In unseren Tests war jedes Keitaro-Panel mit mindestens vier der sieben Methoden erkennbar.
Weltweite Infrastrukturkarte
Die 1.565 Keitaro-Panels sind über eine globale Hosting-Infrastruktur verteilt, die vor allem auf kostengünstige VPS-Anbieter und Länder mit langen Reaktionszeiten bei Missbrauchsfällen setzt. Hier befinden sich die Panels:
Region
Webhosting-Anbieter
Anmerkungen
Vereinigte Staaten
DigitalOcean, Vultr
Größte Ansammlung von Servern. Ein Hosting-Anbieter mit Sitz in den USA bietet schnelle Reaktionszeiten für Nutzer in Nordamerika.
Niederlande
Verschiedene VPS
Beliebt für Kampagnen, die auf Europa ausgerichtet sind. Liberale Hosting-Richtlinien.
Deutschland
Hetzner, verschiedene
Wichtiger Knotenpunkt für Phishing- und E-Commerce-Betrugsaktivitäten, die auf die EU abzielen.
Russland
Verschiedene kugelsichere
Heimatbasis für viele Betreiber. Hosting-Anbieter ohne Maßnahmen gegen Missbrauch.
Vereinigtes Königreich
Verschiedene Clouds
Wird eingesetzt, um Finanzinstitute und staatliche Stellen im Vereinigten Königreich anzugreifen.
Hongkong
Femo-Cluster
Eine eigenständige Gruppe von Akteuren, die mit auf Asien ausgerichteten Krypto-Betrugsmaschen in Verbindung steht. Der „Femo-Cluster“ agiert als koordinierte Gruppe.
Die Vorherrschaft der USA
In den Vereinigten Staaten befindet sich die größte Konzentration an Keitaro-Panels, vor allem bei DigitalOcean und Vultr. Dabei handelt es sich um etablierte Cloud-Anbieter, die Missbrauchsmeldungen bearbeiten – doch angesichts der Vielzahl an Bereitstellungen und der Geschwindigkeit, mit der Betreiber neue Instanzen einrichten, haben die Teams zur Bekämpfung von Missbrauch ständig alle Hände voll zu tun.
Der Femo-Cluster
Ein eigenständiger Cluster von Keitaro-Panels, der über eine Infrastruktur in Hongkong betrieben wird und mit Krypto-Betrug und Glücksspielbetrug auf asiatische Märkte abzielt. Der „Femo-Cluster“ weist koordinierte Einsatzmuster auf, die darauf hindeuten, dass ein einzelner Betreiber oder eine organisierte Gruppe Dutzende von Panels gleichzeitig verwaltet.
AWS Backend
Unabhängig davon, wo die Frontend-Seiten gehostet werden, läuft Keitaros zentraler Datenspeicher auf Amazon Web Services (AWS). Das bedeutet, dass Besucher-Fingerabdrücke, Weiterleitungsprotokolle und Targeting-Daten von potenziell Millionen von Betrugsopfern auf der Infrastruktur von Amazon gespeichert sind. Mit einer Aufbewahrungsdauer von bis zu 9,75 Jahren hostet AWS eine der größten Datenbanken mit Betrugsopfern, die es gibt.
Open-Source-Tools veröffentlicht
Parallel zu dieser Untersuchung veröffentlicht PhishDestroy ein umfassendes Open-Source-Toolkit zur Erkennung. Alle Tools sind kostenlos, erfordern keine API-Schlüssel und können sofort eingesetzt werden. Der vollständige Datensatz mit 1.565 Panels ist enthalten.
Alle Tools, Daten und Belege sind veröffentlicht unter phishdestroy.github.io/ScamIntelLogs/keitaro/. Das Repository ist öffentlich zugänglich und wird aktualisiert, sobald neue Panels entdeckt werden. Beiträge aus der Community und zusätzliche Erkennungsmethoden sind willkommen.
Aufdecken, melden, zerschlagen
Wie wir die Keitaro-TDS-Panels entdeckt haben – Methodik der FingerabdruckanalyseKeitaro-TDS-Datenverkehr – wie bösartige Webseiten Opfer umleiten
Keitaro TDS ist die unsichtbare Infrastruktur, die Betrugsmaschen am Leben erhält. Jeder von dir gemeldete Fall, jede von dir gemachte Entdeckung und jeder von dir geteilte Datensatz trägt dazu bei, dieses Ökosystem zu zerschlagen. Nutze die Tools. Teile die Daten. Melde deine Funde.
Hinweis zur Transparenz. PhishDestroy ist ein nichtkommerzielles, von Freiwilligen getragenes Projekt. Unsere Untersuchungen spiegeln möglicherweise eine gewisse Voreingenommenheit gegenüber Betrugsinfrastrukturen und den Diensten wider, die diese ermöglichen. Wir empfehlen unseren Lesern, alle Informationen kritisch und unabhängig zu bewerten. Lesen Sie unsere vollständige Transparenzerklärung →
