Volver a las noticias

Investigación de ScamIntelLogs + Lanzamiento de la herramienta

Keitaro TDS: 1.500 paneles expuestos y ningún uso legítimo detectado

El motor de camuflaje que se esconde tras todas las estafas que nunca has visto. PhishDestroy ha analizado más de 50 000 sitios web, ha descubierto 1 565 paneles de administración de Keitaro TDS y no ha encontrado ni una sola implementación legítima. Todos y cada uno de los paneles estaban relacionados con fraudes relacionados con las criptomonedas, phishing, distribución de malware o cosas aún peores. Entre sus clientes se encuentran EvilCorp, el ransomware LockBit y VexTrio. Ya están disponibles el kit de herramientas de detección de código abierto, la metodología de 7 puntos y el archivo CSV completo con todos los paneles.

Se han encontrado 1.565 panelesÍndice de malicia del 100 %7 Métodos de detecciónSe han lanzado 4 herramientas
Keitaro TDS al descubierto
0
Paneles de administración encontrados
50,000+
Sitios web analizados
0%
Usos legítimos
7
Métodos de detección

¿Qué es Keitaro TDS?

Keitaro TDS es un sistema comercial de distribución del tráfico comercializado por Apliteni OU, una empresa constituida en Estonia. A primera vista, se presenta como una herramienta de gestión del tráfico para los profesionales del marketing de afiliación. En la práctica, es el motor de enmascaramiento más utilizado en el ecosistema mundial de las estafas.

El «cloaking» es el arte de mostrar contenidos diferentes a distintos visitantes. Cuando un investigador de seguridad, un revisor de anuncios o un agente de las fuerzas del orden visita una URL, Keitaro los identifica y les muestra una página limpia e inofensiva. Cuando una víctima real visita la misma URL, es redirigida a estafas relacionadas con las criptomonedas, páginas de phishing, descargas de malware o sitios de comercio electrónico fraudulentos. La víctima nunca ve la versión limpia. El analista nunca ve la estafa.

Los precios de Keitaro oscilan entre Entre 40 y 400 euros al mes, lo que lo posiciona como una infraestructura contra el fraude de nivel empresarial. Almacena los datos de los visitantes durante un máximo de 9,75 años, lo que proporciona a los operadores un enorme conjunto de datos que incluye huellas dactilares de las víctimas, datos geográficos y perfiles de comportamiento. Todos estos datos se almacenan en Infraestructura de AWS, lo que significa que Amazon, sin saberlo, está alojando la infraestructura técnica de miles de operaciones fraudulentas.

Sociedad pantalla

Apliteni OU Opera desde Estonia, aprovechando el programa de residencia electrónica del país y la favorable legislación en materia de privacidad corporativa. La empresa mantiene una apariencia de legitimidad mediante un marketing profesional, documentación y atención al cliente, mientras que cada implementación cuantificable de su producto está relacionada con actividades delictivas. Cobran entre 40 y 400 € al mes por lo que, en la práctica, es una plataforma de «estafa como servicio» con casi una década de retención de datos.

Las cifras: 1.565 paneles, ninguno legítimo

La investigación de PhishDestroy partió de una hipótesis sencilla: si Keitaro TDS tiene usos legítimos, deberíamos encontrarlos a gran escala. Analizamos Más de 50 000 sitios web mediante una combinación de herramientas automatizadas y verificación manual, centrándonos específicamente en la búsqueda de rastros de Keitaro TDS. Lo que encontramos fue inequívoco.

1.565 paneles de administración de Keitaro activos fueron descubiertos. Los analizamos todos y cada uno de ellos. El resultado: cero implementaciones legítimas. Ni un solo panel se utilizaba para el marketing de afiliación legal, pruebas A/B ni ningún otro fin lícito. Todos los paneles —el 100 %— estaban relacionados con actividades delictivas.

1,565
Paneles activos
100%
Índice de actividades maliciosas
Más de 50 000
Sitios web analizados
9,75 años
Retención máxima de datos

Desglose por categorías de abuso

Los 1.565 paneles se distribuyeron en seis categorías principales de abuso. Muchos paneles abarcaban varias categorías a la vez, utilizando el sistema de enrutamiento de tráfico de Keitaro para dirigir a las víctimas hacia diferentes tipos de estafas en función de su ubicación geográfica, el dispositivo que utilizaran o la hora del día.

Categoría de abusoDescripción
Estafas relacionadas con las criptomonedas Plataformas de inversión falsas, estafas que vacían las carteras y páginas de destino engañosas relacionadas con la pig butchering
Phishing Robo de credenciales de bancos, proveedores de correo electrónico y redes sociales
Distribución de malwareEntrega de cargadores, preparación de ransomware, descargas automáticas
Fraude en el comercio electrónicoTiendas fraudulentas, productos falsificados, clonación de tarjetas de pago
Estafas en las citasEstafas sentimentales, páginas de destino para la sextorsión, perfiles falsos
Fraude en el juego Casinos sin licencia, plataformas de apuestas amañadas, robo de depósitos

Nota metodológica

Cada panel se verificó mediante al menos dos métodos de detección independientes antes de ser clasificado. Los falsos positivos se revisaron manualmente y se excluyeron. La cifra de 1.565 corresponde únicamente a las instalaciones activas y confirmadas de Keitaro; el número real de implementaciones, incluidas aquellas que se encuentran tras capas adicionales de protección, es sin duda mayor.

Lista de clientes en procesos penales

Keitaro TDS no solo lo utilizan estafadores de poca monta. Es la infraestructura de ocultación preferida por algunas de las organizaciones de ciberdelincuentes más peligrosas del planeta. Estos son los clientes documentados:

EvilCorp

La organización criminal cibernética rusa sujeta a sanciones utiliza Keitaro para eludir las sanciones internacionales. Al camuflar sus operaciones tras la distribución de tráfico de Keitaro, EvilCorp elude los controles de seguridad diseñados precisamente para acabar con ella. Cada clic que se canaliza a través de Keitaro constituye una violación de las sanciones facilitada por el software de Apliteni OU.

Ransomware LockBit

El grupo de ransomware LockBit utilizó Keitaro para distribuir el malware, aprovechando sus capacidades de camuflaje para garantizar que solo los objetivos reales recibieran las cargas útiles del ransomware, mientras que los entornos de pruebas de seguridad y los investigadores veían contenido inofensivo. Keitaro fue un multiplicador de potencia para una de las operaciones de ransomware más destructivas de la historia.

VexTrio

El mayor cliente conocido de Keitaro. VexTrio opera con Más de 60 afiliados y controles Más de 86 832 dominios, todas ellas canalizando el tráfico a través del motor de distribución de Keitaro. Esta única operación representa una parte enorme del tráfico publicitario malicioso de Internet, y Keitaro es la columna vertebral que lo mantiene oculto.

ClearFake

ClearFake inserta mensajes falsos de actualización del navegador en sitios web comprometidos, distribuyendo malware cuando las víctimas hacen clic en «Actualizar». La técnica de camuflaje de Keitaro garantiza que solo los visitantes reales vean la ventana superpuesta maliciosa, mientras que los escáneres de seguridad ven el sitio web original, libre de amenazas. El resultado: distribución de malware con índices de detección prácticamente nulos.

FakeBat

FakeBat es un cargador de malware que se distribuye a través de campañas publicitarias maliciosas. Keitaro canaliza el tráfico publicitario a través de un motor de decisión: las herramientas de seguridad son redirigidas a páginas legítimas de descarga de software, mientras que a los usuarios reales se les muestran instaladores infectados con troyanos. Keitaro hace que las campañas de publicidad maliciosa de FakeBat sean prácticamente invisibles para los equipos de seguridad de las plataformas publicitarias.

Doble

Una campaña de desinformación vinculada al Estado ruso que utiliza Keitaro para difundir propaganda en las redes sociales occidentales. Las huellas geográficas y de dispositivos de Keitaro garantizan que los moderadores de contenidos y los verificadores de datos vean contenidos diferentes a los que ven los destinatarios. Guerra de información, impulsada por software comercial estonio.

«Hemos encontrado rastros de Keitaro en todas las operaciones importantes de ciberdelincuencia que hemos investigado en los últimos 18 meses. No es una coincidencia: es el estándar del sector para los delincuentes».

— Equipo de investigación de PhishDestroy

Metodología de detección de 7 puntos

A lo largo de esta investigación, PhishDestroy ha desarrollado siete métodos independientes para identificar las implementaciones de Keitaro TDS. Cada método se centra en una huella diferente que deja Keitaro y, en conjunto, forman un marco de detección integral que ya está disponible como herramientas de código abierto.

1. /click_api/v3 Punto final

Punto final de la API principal de Keitaro para procesar eventos de clic. Esta ruta está codificada de forma fija en el software y está presente en todas las instalaciones. Comprobar la existencia de este punto final es la forma más rápida de confirmar una implementación de Keitaro. Una respuesta 200 o 302 en esta ruta constituye una identificación positiva casi segura.

2. _lp / _token / _subid Parámetros de URL

Keitaro añade parámetros de seguimiento específicos a las URL durante las cadenas de redireccionamiento. El _lp El parámetro identifica la página de destino, _token utiliza la autenticación por sesión, y _subid realiza un seguimiento de las fuentes de subafiliados. Estos parámetros son exclusivos de Keitaro y rara vez aparecen en los sistemas legítimos de gestión del tráfico.

3. Galletas específicas de Keitaro

Keitaro establece unas cookies específicas para realizar un seguimiento de las sesiones de los visitantes y mantener el estado de enmascaramiento. Estas cookies siguen convenciones de nomenclatura que difieren de las de las plataformas de análisis estándar, lo que permite identificarlas mediante la inspección del navegador o el análisis automatizado de cookies.

4. Patrones de encabezados de respuesta

Las respuestas del servidor de Keitaro contienen patrones distintivos en los encabezados HTTP, entre los que se incluyen directivas específicas de «Cache-Control», encabezados personalizados y cadenas de identificación del servidor que difieren de las de los servidores web estándar. Estos encabezados persisten incluso cuando los operadores intentan personalizar sus instalaciones.

5. Cadenas de redireccionamiento en JavaScript

Keitaro utiliza redireccionamientos de JavaScript en varias etapas para evaluar las huellas digitales de los visitantes antes de decidir si mostrar la página fraudulenta o la página legítima. Estas cadenas de redireccionamiento siguen patrones predecibles —nombres de variables específicos, secuencias temporales y lógica de evaluación— que pueden detectarse mediante el análisis estático y dinámico de JavaScript.

Mapa de calor mundial: se han detectado 1.565 paneles TDS de Keitaro en todo el mundo; no se han encontrado usos legítimos.
Mapa de calor mundial: se han detectado 1.565 paneles TDS de Keitaro en todo el mundo; no se han encontrado usos legítimos.
6. Análisis de patrones de dominio

Los operadores de Keitaro suelen registrar dominios siguiendo convenciones de nomenclatura y patrones de registro predecibles. El análisis masivo de dominios revela grupos de dominios con datos WHOIS, fechas de registro, configuraciones de servidores de nombres y proveedores de alojamiento similares, lo que apunta a implementaciones coordinadas de Keitaro.

7. Identificación del panel de administración

Se puede acceder a los paneles de administración de Keitaro a través de rutas conocidas, y estos devuelven estructuras HTML, nombres de clases CSS y archivos JavaScript característicos. Incluso cuando los administradores cambian la URL de inicio de sesión predeterminada, el marco de trabajo de la interfaz del panel deja rastros identificables que pueden detectarse mediante la enumeración de rutas y el análisis de huellas digitales del contenido.

Defensa en profundidad

Ningún método de detección es infalible. Los operadores más expertos pueden desactivar o modificar determinadas huellas digitales. Por eso, la metodología de 7 puntos funciona como un sistema por capas: incluso si un operador elimina tres o cuatro firmas, los métodos restantes seguirán detectando la instalación. En nuestras pruebas, todos los paneles Keitaro resultaron detectables mediante al menos cuatro de los siete métodos.

Mapa de infraestructuras mundiales

Los 1.565 paneles de Keitaro se distribuyen a través de una infraestructura de alojamiento global que da prioridad a los proveedores de VPS económicos y a las jurisdicciones con tiempos de respuesta lentos ante casos de abuso. A continuación se indican las ubicaciones de los paneles:

RegiónProveedores de alojamiento webNotas
Estados UnidosDigitalOcean, Vultr La mayor concentración de servidores. El alojamiento con sede en EE. UU. ofrece tiempos de respuesta rápidos para los usuarios de Norteamérica.
Países BajosVarios servidores VPS Muy utilizado para campañas dirigidas al mercado europeo. Políticas de alojamiento flexibles.
AlemaniaHetzner, varios Importante centro de operaciones de phishing y fraude en el comercio electrónico dirigidas a la UE.
RusiaVarios a prueba de balas Sede de muchos operadores. Proveedores de alojamiento web que no aplican medidas contra los abusos.
Reino UnidoDiversas nubes Se utiliza para atacar a instituciones financieras y servicios públicos del Reino Unido.
Hong KongClúster Femo Grupo diferenciado de paneles relacionado con estafas de criptomonedas dirigidas al mercado asiático. El «grupo Femo» opera como una organización coordinada.

El dominio de EE. UU.

Estados Unidos alberga la mayor concentración de paneles de Keitaro, principalmente en DigitalOcean y Vultr. Se trata de proveedores de servicios en la nube muy extendidos que tramitan las denuncias de abusos, pero el volumen de implementaciones y la rapidez con la que los operadores crean nuevas instancias hacen que los equipos encargados de combatir los abusos se vean constantemente obligados a ir a la zaga.

El clúster Femo

Un grupo diferenciado de paneles Keitaro que opera desde infraestructuras de Hong Kong y que se dirige a los mercados asiáticos con estafas relacionadas con las criptomonedas y el juego. El «grupo Femo» muestra patrones de despliegue coordinados que sugieren la existencia de un único operador o de un grupo organizado que gestiona docenas de paneles simultáneamente.

Backend de AWS

Independientemente de dónde estén alojados los paneles front-end, el almacenamiento de datos principal de Keitaro se ejecuta en Amazon Web Services (AWS). Esto significa que las huellas digitales de los visitantes, los registros de redireccionamiento y los datos de segmentación de, posiblemente, millones de víctimas de estafas se encuentran almacenados en la infraestructura de Amazon. Con un periodo de conservación de datos de hasta 9,75 años, AWS aloja una de las mayores bases de datos de víctimas de estafas que existen.

Lanzamiento de herramientas de código abierto

Paralelamente a esta investigación, PhishDestroy lanza un conjunto completo de herramientas de detección de código abierto. Todas las herramientas son gratuitas, no requieren claves API y se pueden implementar de inmediato. Se incluye el conjunto de datos completo, compuesto por 1.565 paneles.

Repositorio completo de pruebas

Todas las herramientas, los datos y las pruebas se publican en phishdestroy.github.io/ScamIntelLogs/keitaro/. El repositorio es público y se irá actualizando a medida que se descubran nuevos paneles. Se agradecen las aportaciones de la comunidad y los métodos de detección adicionales.

Detectar, denunciar, desmantelar

Cómo detectamos los paneles TDS de Keitaro: metodología de identificación mediante huellas digitales
Cómo detectamos los paneles TDS de Keitaro: metodología de identificación mediante huellas digitales
Flujo de tráfico de Keitaro TDS: cómo los paneles maliciosos redirigen a las víctimas
Flujo de tráfico de Keitaro TDS: cómo los paneles maliciosos redirigen a las víctimas

Keitaro TDS es la infraestructura invisible que mantiene vivas las estafas. Cada panel que denuncies, cada detección que realices y cada conjunto de datos que compartas contribuye a desmantelar ese ecosistema. Utiliza las herramientas. Comparte los datos. Denuncia lo que encuentres.

#KeitaroTDS#TrafficDistribution#Malvertising#ScamInfra#Investigation

Investigaciones relacionadas

La epidemia de los casinos falsos: 5 paneles al descubierto
Análisis comparativo de cuatro operaciones de PaaS de casinos con 383 víctimas verificadas en más de 30 países.
Se desvela el kit de herramientas «Crypto Drainer»
Cómo TRXDrop y NiceCrypto aprovechan las conexiones con los monederos para robar activos criptográficos.
El proyecto: un imperio fraudulento de 10 millones de dólares
En el interior del imperio del timo que lleva a cabo operaciones de fraude industrializadas a gran escala.
Comparativa de grupos de estafadores
Comparación detallada de las estructuras, herramientas y métodos operativos de los grupos organizados dedicados a las estafas.
Herramientas y servicios de PhishDestroy
Conjunto completo de herramientas de código abierto para la detección, el análisis y la elaboración de informes, destinadas a los investigadores en materia de seguridad.
Anatomía de una retirada
Guía paso a paso sobre cómo desmantelamos la infraestructura de phishing.
Aviso sobre transparencia. PhishDestroy es un proyecto independiente y sin ánimo de lucro. Nuestra investigación puede reflejar un sesgo inherente contra las infraestructuras de estafa y los servicios que las facilitan. Animamos a los lectores a evaluar todo el material de forma crítica e independiente. Lee nuestra declaración de transparencia completa →