Die Tarn-Engine hinter jedem Betrugsversuch, den Sie noch nie gesehen haben. PhishDestroy hat über 50.000 Websites gescannt, 1.565 Keitaro-TDS-Admin-Panels entdeckt und dabei keinen einzigen legitimen Einsatz gefunden. Jedes einzelne Panel stand in Verbindung mit Krypto-Betrug, Phishing, der Verbreitung von Malware oder Schlimmerem. Zu den Kunden zählen EvilCorp, die Ransomware LockBit und VexTrio. Ein Open-Source-Toolkit zur Erkennung, eine 7-Punkte-Methodik und eine vollständige CSV-Datei mit allen Panels wurden nun veröffentlicht.
~10 Minuten Lesezeit· Aktualisiert März 2026· PhishDestroy Intelligence
Keitaro TDS ist ein kommerzielles Verkehrsverteilungssystem, das von Apliteni OU, ein Unternehmen mit Sitz in Estland. Auf den ersten Blick präsentiert es sich als Tool zur Traffic-Verwaltung für Affiliate-Vermarkter. In der Praxis handelt es sich jedoch um die am weitesten verbreitete Cloaking-Engine im globalen Betrugsökosystem.
Cloaking ist die Kunst, verschiedenen Besuchern unterschiedliche Inhalte anzuzeigen. Wenn ein Sicherheitsforscher, ein Anzeigenprüfer oder ein Strafverfolgungsbeamter eine URL aufruft, erkennt Keitaro diese Personen und zeigt ihnen eine saubere, harmlose Seite an. Wenn ein echtes Opfer dieselbe URL aufruft, wird es zu Krypto-Betrugsseiten, Phishing-Seiten, Malware-Downloads oder betrügerischen E-Commerce-Seiten weitergeleitet. Das Opfer sieht niemals die harmlose Version. Der Analyst sieht niemals den Betrug.
Die Preise bei Keitaro reichen von 40 bis 400 Euro pro Monat, wodurch es sich als Betrugsbekämpfungsinfrastruktur der Enterprise-Klasse positioniert. Es speichert Besucherdaten für bis zu 9,75 Jahre, wodurch die Betreiber über einen riesigen Datensatz mit Fingerabdrücken der Opfer, geografischen Daten und Verhaltensprofilen verfügen. All diese Daten werden gespeichert auf AWS-Infrastruktur, was bedeutet, dass Amazon unwissentlich das Backend für Tausende von Betrugsoperationen bereitstellt.
Mantelgesellschaft
Apliteni OU Das Unternehmen hat seinen Sitz in Estland und nutzt dort das E-Residency-Programm sowie die günstigen Datenschutzgesetze für Unternehmen. Das Unternehmen wahrt durch professionelles Marketing, Dokumentation und Kundensupport den Anschein von Legitimität – während jeder nachweisbare Einsatz seines Produkts mit kriminellen Aktivitäten in Verbindung steht. Es verlangt 40–400 € pro Monat für eine Plattform, die im Grunde genommen ein „Scam-as-a-Service“-Angebot darstellt und Daten fast ein Jahrzehnt lang speichert.
Die Zahlen: 1.565 Panels, null legitime
Die Untersuchung von PhishDestroy ging von einer einfachen Hypothese aus: Wenn Keitaro TDS legitime Anwendungsfälle hat, sollten wir diese in großem Umfang finden. Wir haben gescannt Über 50.000 Standorte Dabei setzten wir eine Kombination aus automatisierten Tools und manueller Überprüfung ein und suchten gezielt nach Keitaro-TDS-Fingerabdrücken. Was wir fanden, war eindeutig.
1.565 aktive Keitaro-Admin-Panels wurden entdeckt. Wir haben jeden einzelnen davon analysiert. Das Ergebnis: keine legitimen Bereitstellungen. Kein einziges Panel wurde für rechtmäßiges Affiliate-Marketing, A/B-Tests oder andere harmlose Zwecke genutzt. Jedes einzelne Panel – zu 100 % – stand in Verbindung mit kriminellen Aktivitäten.
1,565
Aktive Felder
100%
Anteil bösartiger Dateien
50.000+
Überprüfte Websites
9,75 Jahre
Maximale Aufbewahrungsfrist für Daten
Aufschlüsselung nach Missbrauchskategorien
Die 1.565 Panels verteilten sich auf sechs Hauptkategorien von Missbrauch. Viele Panels dienten gleichzeitig mehreren Kategorien, wobei Keitaros Traffic-Routing genutzt wurde, um Opfer je nach geografischem Standort, Gerät oder Tageszeit auf verschiedene Betrugsarten weiterzuleiten.
Das Ausspähen von Zugangsdaten bei Banken, E-Mail-Anbietern und sozialen Medien
Verbreitung von Malware
Lieferung von Loadern, Vorbereitung von Ransomware, Drive-by-Downloads
Betrug im E-Commerce
Scheinläden, gefälschte Waren, Skimming von Zahlungskarten
Dating-Betrug
Liebesbetrug, Landingpages für Sextortion, gefälschte Profile
Glücksspielbetrug
Nicht lizenzierte Casinos, manipulierte Wettplattformen, Diebstahl von Einzahlungen
Anmerkung zur Methodik
Jedes Panel wurde vor der Klassifizierung anhand von mindestens zwei unabhängigen Erkennungsmethoden überprüft. Falschpositive Ergebnisse wurden manuell überprüft und ausgeschlossen. Die Zahl von 1.565 bezieht sich ausschließlich auf bestätigte, aktive Keitaro-Installationen – die tatsächliche Anzahl der Bereitstellungen, einschließlich derjenigen hinter zusätzlichen Schutzebenen, ist sicherlich höher.
Namentliche Aufruf der Mandanten in Strafsachen
Keitaro TDS wird nicht nur von Kleinkriminellen genutzt. Es ist die bevorzugte Verschleierungsinfrastruktur einiger der gefährlichsten Cyberkriminellen-Organisationen der Welt. Hier sind die dokumentierten Kunden:
EvilCorp
Das mit Sanktionen belegte russische Cyberkriminalitätssyndikat nutzt Keitaro, um internationale Sanktionen zu umgehen. Indem EvilCorp seine Aktivitäten hinter Keitaros Datenverkehrverteilung verbirgt, umgeht das Unternehmen genau jene Sicherheitskontrollen, die darauf ausgelegt sind, es außer Gefecht zu setzen. Jeder Klick, der über Keitaro geleitet wird, stellt einen Verstoß gegen die Sanktionen dar, der durch die Software von Apliteni OU ermöglicht wird.
LockBit-Ransomware
Die Ransomware-Gruppe „LockBit“ nutzte Keitaro zur Verbreitung von Malware und setzte dessen Verschleierungsfunktionen ein, um sicherzustellen, dass nur die eigentlichen Ziele die Ransomware-Payloads erhielten, während Sicherheits-Sandboxes und Forscher harmlose Inhalte zu sehen bekamen. Keitaro wirkte als Kraftverstärker für eine der zerstörerischsten Ransomware-Aktionen der Geschichte.
VexTrio
Der größte bekannte Keitaro-Kunde. VexTrio arbeitet mit Über 60 Partner und Bedienelemente 86.832+ Domains, die alle den Datenverkehr über Keitaros Verteilungs-Engine leiten. Dieser einzelne Vorgang macht einen enormen Anteil des bösartigen Werbedatenverkehrs im Internet aus, und Keitaro ist das Rückgrat, das dafür sorgt, dass dieser unsichtbar bleibt.
ClearFake
ClearFake fügt gefälschte Aufforderungen zu Browser-Updates in kompromittierte Websites ein und verbreitet Malware, sobald die Opfer auf „Aktualisieren“ klicken. Keitaros Cloaking-Funktion sorgt dafür, dass nur echte Besucher das bösartige Overlay sehen – Sicherheitsscanner erkennen hingegen die ursprüngliche, saubere Website. Das Ergebnis: Malware-Verbreitung mit einer Erkennungsrate von nahezu null.
FakeBat
FakeBat ist ein Malware-Loader, der über bösartige Werbekampagnen verbreitet wird. Keitaro leitet den Werbetraffic über eine Entscheidungs-Engine weiter: Sicherheitsprogramme werden auf legitime Software-Downloadseiten umgeleitet, während echten Nutzern mit Trojanern infizierte Installationsprogramme angezeigt werden. Keitaro sorgt dafür, dass die Malvertising-Kampagnen von FakeBat für die Sicherheitsteams der Werbeplattformen praktisch unsichtbar bleiben.
Doppelgänger
Eine mit dem russischen Staat verknüpfte Desinformationskampagne, die Keitaro nutzt, um Propaganda in westlichen sozialen Medien zu verbreiten. Durch Keitaros geografisches und gerätebasiertes Fingerprinting wird sichergestellt, dass Inhaltsmoderatoren und Faktenprüfer andere Inhalte sehen als die Zielgruppen. Informationskrieg, unterstützt durch kommerzielle estnische Software.
„Wir haben bei jeder größeren Cyberkriminalitätsaktion, die wir in den letzten 18 Monaten untersucht haben, Spuren von Keitaro gefunden. Das ist kein Zufall – es ist der Industriestandard für Kriminelle.“
— PhishDestroy-Forschungsteam
7-Punkte-Erkennungsmethode
Im Rahmen dieser Untersuchung entwickelte PhishDestroy sieben unabhängige Methoden zur Identifizierung von Keitaro-TDS-Installationen. Jede Methode zielt auf einen anderen Fingerabdruck ab, den Keitaro hinterlässt, und zusammen bilden sie ein umfassendes Erkennungsframework, das nun als Open-Source-Tool zur Verfügung steht.
1. /click_api/v3 Endpunkt
Keitaros zentraler API-Endpunkt zur Verarbeitung von Klickereignissen. Dieser Pfad ist fest in der Software programmiert und bei jeder Installation vorhanden. Die Überprüfung dieses Endpunkts ist die schnellste Methode, um eine Keitaro-Bereitstellung zu bestätigen. Eine 200- oder 302-Antwort unter diesem Pfad gilt als nahezu sichere Bestätigung.
2. _lp / _token / _subid URL-Parameter
Keitaro fügt URLs während Weiterleitungsketten spezifische Tracking-Parameter hinzu. Die _lp Der Parameter identifiziert die Zielseite, _token unterstützt die Sitzungsauthentifizierung und _subid erfasst die Quellen von Unterpartnern. Diese Parameter kommen ausschließlich bei Keitaro vor und tauchen in seriösen Traffic-Management-Systemen nur selten auf.
3. Keitaro-spezifische Cookies
Keitaro setzt spezielle Cookies ein, um Besuchersitzungen zu verfolgen und den Cloaking-Status aufrechtzuerhalten. Diese Cookies folgen anderen Namenskonventionen als herkömmliche Analyseplattformen, wodurch sie durch eine Browser-Überprüfung oder eine automatisierte Cookie-Analyse identifiziert werden können.
4. Muster für Antwort-Header
Die Serverantworten von Keitaro weisen charakteristische HTTP-Header-Muster auf, darunter bestimmte Cache-Control-Anweisungen, benutzerdefinierte Header und Zeichenfolgen zur Serveridentifikation, die sich von denen herkömmlicher Webserver unterscheiden. Diese Header bleiben auch dann bestehen, wenn Betreiber versuchen, ihre Installationen anzupassen.
5. JavaScript-Weiterleitungsketten
Keitaro nutzt mehrstufige JavaScript-Weiterleitungen, um die Fingerabdrücke der Besucher auszuwerten, bevor entschieden wird, ob die Betrugsseite oder die harmlose Seite angezeigt wird. Diese Weiterleitungsketten folgen vorhersehbaren Mustern – bestimmte Variablennamen, zeitliche Abläufe und Auswertungslogik –, die durch statische und dynamische JavaScript-Analysen erkannt werden können.
Keitaro-Betreiber registrieren Domains in der Regel nach vorhersehbaren Namenskonventionen und Registrierungsmustern. Eine Analyse großer Domain-Mengen zeigt Cluster von Domains mit ähnlichen WHOIS-Daten, Registrierungsdaten, Nameserver-Konfigurationen und Hosting-Anbietern – all dies deutet auf koordinierte Keitaro-Bereitstellungen hin.
7. Fingerabdruckerkennung im Admin-Bereich
Auf die Keitaro-Admin-Panels kann über bekannte Pfade zugegriffen werden, und sie geben charakteristische HTML-Strukturen, CSS-Klassennamen und JavaScript-Dateien zurück. Selbst wenn Administratoren die Standard-Anmelde-URL ändern, hinterlässt das Frontend-Framework des Panels identifizierbare Spuren, die durch Pfadaufzählung und Content-Fingerprinting erkannt werden können.
Mehrschichtige Sicherheit
Keine einzelne Erkennungsmethode ist absolut sicher. Erfahrene Angreifer können einzelne Signaturen deaktivieren oder verändern. Deshalb funktioniert die 7-Punkte-Methode als mehrschichtiges System – selbst wenn ein Angreifer drei oder vier Signaturen beseitigt, werden die verbleibenden Methoden den Einsatz dennoch als verdächtig kennzeichnen. In unseren Tests war jedes Keitaro-Panel mit mindestens vier der sieben Methoden nachweisbar.
Weltweite Infrastrukturkarte
Die 1.565 Keitaro-Panels sind über eine globale Hosting-Infrastruktur verteilt, die vor allem auf günstige VPS-Anbieter und Länder mit langen Reaktionszeiten bei Missbrauchsfällen setzt. Hier befinden sich die Panels:
Region
Hosting-Anbieter
Anmerkungen
Vereinigte Staaten
DigitalOcean, Vultr
Größte Konzentration an Servern. Das Hosting in den USA sorgt für schnelle Reaktionszeiten für Opfer in Nordamerika.
Niederlande
Verschiedene VPS
Beliebt für Kampagnen, die auf Europa ausgerichtet sind. Liberal gestaltete Hosting-Richtlinien.
Deutschland
Hetzner, verschiedene
Wichtiger Knotenpunkt für Phishing- und E-Commerce-Betrugsaktionen, die auf die EU abzielen.
Russland
Verschiedene kugelsichere
Heimatbasis für viele Betreiber. Hosting-Anbieter ohne Maßnahmen gegen Missbrauch.
Vereinigtes Königreich
Verschiedene Clouds
Wird eingesetzt, um Finanzinstitute und staatliche Stellen im Vereinigten Königreich anzugreifen.
Hongkong
Femo-Cluster
Eine eigenständige Gruppe von Webseiten, die mit auf Asien ausgerichteten Krypto-Betrugsmaschen in Verbindung steht. Der „Femo-Cluster“ agiert als koordinierte Gruppe.
Die Vorherrschaft der USA
In den Vereinigten Staaten befindet sich die größte Konzentration von Keitaro-Panels, vor allem bei DigitalOcean und Vultr. Dabei handelt es sich um etablierte Cloud-Anbieter, die Missbrauchsmeldungen bearbeiten – doch angesichts der Vielzahl der Bereitstellungen und der Geschwindigkeit, mit der Betreiber neue Instanzen einrichten, haben die Teams zur Bekämpfung von Missbrauch ständig alle Hände voll zu tun, um Schritt zu halten.
Der Femo-Cluster
Ein eigenständiger Cluster von Keitaro-Panels, der über die Infrastruktur in Hongkong betrieben wird und mit Krypto-Betrug und Glücksspielbetrug auf asiatische Märkte abzielt. Der „Femo-Cluster“ weist koordinierte Einsatzmuster auf, die darauf hindeuten, dass ein einzelner Betreiber oder eine organisierte Gruppe Dutzende von Panels gleichzeitig verwaltet.
AWS-Backend
Unabhängig davon, wo die Frontend-Seiten gehostet werden, läuft Keitaros zentraler Datenspeicher auf Amazon Web Services (AWS). Das bedeutet, dass Besucher-Fingerabdrücke, Weiterleitungsprotokolle und Targeting-Daten von potenziell Millionen von Betrugsopfern auf der Infrastruktur von Amazon gespeichert sind. Mit einer Aufbewahrungsdauer von bis zu 9,75 Jahren hostet AWS eine der größten Datenbanken mit Betrugsopfern, die es gibt.
Open-Source-Tools veröffentlicht
Parallel zu dieser Untersuchung veröffentlicht PhishDestroy ein umfassendes Open-Source-Toolkit zur Erkennung von Angriffen. Alle Tools sind kostenlos, erfordern keine API-Schlüssel und können sofort eingesetzt werden. Der vollständige Datensatz mit 1.565 Panels ist enthalten.
Alle Tools, Daten und Belege werden veröffentlicht unter phishdestroy.io/ScamIntelLogs/keitaro/. Das Repository ist öffentlich zugänglich und wird aktualisiert, sobald neue Panels entdeckt werden. Beiträge aus der Community und zusätzliche Erkennungsmethoden sind willkommen.
Aufdecken, melden, zerschlagen
Wie wir die Keitaro-TDS-Panels aufgespürt haben – Methodik der Fingerabdruckanalyse Keitaro-TDS-Datenverkehr – wie bösartige Webseiten die Opfer umleiten
Keitaro TDS ist die unsichtbare Infrastruktur, die Betrugsmaschen am Leben erhält. Jedes von Ihnen gemeldete Panel, jede von Ihnen vorgenommene Erkennung und jeder von Ihnen geteilte Datensatz trägt dazu bei, dieses Ökosystem zu zerschlagen. Nutzen Sie die Tools. Teilen Sie die Daten. Melden Sie Ihre Funde.
Hinweis zur Transparenz. PhishDestroy ist ein nichtkommerzielles, unabhängiges Projekt. Unsere Recherchen spiegeln möglicherweise eine gewisse Voreingenommenheit gegenüber Betrugsinfrastrukturen und den Diensten wider, die diese ermöglichen. Wir empfehlen den Lesern, alle Inhalte kritisch und eigenständig zu bewerten. Lesen Sie unsere vollständige Transparenzerklärung →