Retour aux actualités

Enquête ScamIntelLogs + Lancement de l'outil

Keitaro TDS : 1 500 panneaux exposés et aucune utilisation légitime constatée

Le moteur de dissimulation derrière toutes les arnaques que vous n’avez jamais vues. PhishDestroy a analysé plus de 50 000 sites, découvert 1 565 panneaux d’administration Keitaro TDS et n’a trouvé aucun déploiement légitime. Chaque panneau était lié à une fraude liée aux cryptomonnaies, au hameçonnage, à la distribution de logiciels malveillants, voire pire. Parmi ses clients figurent EvilCorp, le ransomware LockBit et VexTrio. Une boîte à outils de détection open source, une méthodologie en 7 points et un fichier CSV complet répertoriant tous les panneaux sont désormais disponibles.

1 565 panneaux trouvésTaux de malveillance de 100 %7 méthodes de détection4 outils mis à disposition
Keitaro TDS démasqué
0
Panneaux d'administration trouvés
50,000+
Sites analysés
0%
Utilisations légitimes
7
Méthodes de détection

Qu'est-ce que le Keitaro TDS ?

Keitaro TDS est un système commercial de répartition du trafic commercialisé par Apliteni OU, une société constituée à Estonie. À première vue, il se présente comme un outil de gestion du trafic destiné aux spécialistes du marketing d'affiliation. En réalité, il s'agit du moteur de cloaking le plus largement utilisé dans l'écosystème mondial de la fraude.

Le « cloaking » est l'art de présenter un contenu différent selon les visiteurs. Lorsqu'un chercheur en sécurité, un modérateur publicitaire ou un agent des forces de l'ordre se rend sur une URL, Keitaro l'identifie et lui affiche une page « propre » et inoffensive. Lorsqu’une véritable victime se rend sur cette même URL, elle est redirigée vers des escroqueries liées à la cryptomonnaie, des pages de hameçonnage, des téléchargements de logiciels malveillants ou des sites de commerce électronique frauduleux. La victime ne voit jamais la version « propre ». L’analyste ne voit jamais l’escroquerie.

Les tarifs de Keitaro vont de De 40 à 400 euros par mois, ce qui en fait une infrastructure de lutte contre la fraude destinée aux entreprises. Elle stocke les données des visiteurs pendant une durée pouvant aller jusqu’à 9,75 ans, offrant ainsi aux opérateurs un immense ensemble de données comprenant les empreintes digitales des victimes, des données géographiques et des profils comportementaux. Toutes ces données sont stockées sur Infrastructure AWS, ce qui signifie qu'Amazon héberge, à son insu, l'infrastructure technique de milliers d'opérations frauduleuses.

Société écran

Apliteni OU opère depuis l'Estonie, tirant parti du programme d'« e-résidence » du pays et de sa législation favorable en matière de confidentialité des entreprises. L’entreprise conserve un semblant de légitimité grâce à un marketing professionnel, à une documentation soignée et à un service client, alors que chaque déploiement mesurable de son produit est lié à une activité criminelle. Elle facture entre 40 et 400 € par mois pour ce qui est en réalité une plateforme de « scam-as-a-service » (escroquerie en tant que service) conservant les données pendant près d’une décennie.

Les chiffres : 1 565 panneaux, aucun valable

L'enquête de PhishDestroy est partie d'une hypothèse simple : si Keitaro TDS avait des utilisations légitimes, nous devrions en trouver à grande échelle. Nous avons analysé Plus de 50 000 sites en combinant des outils automatisés et une vérification manuelle, en recherchant spécifiquement les traces caractéristiques de Keitaro TDS. Ce que nous avons découvert ne laissait place à aucun doute.

1 565 panneaux d'administration Keitaro actifs ont été découverts. Nous les avons tous analysés un par un. Résultat : aucun déploiement valide. Aucun panel n'était utilisé à des fins légales de marketing d'affiliation, de tests A/B ou à toute autre fin inoffensive. Tous les panels — à 100 % — étaient liés à des activités criminelles.

1,565
Panneaux actifs
100%
Taux de malveillance
Plus de 50 000
Sites analysés
9,75 ans
Durée maximale de conservation des données

Répartition par catégorie d'abus

Les 1 565 panels ont été répartis entre six grandes catégories d'abus. De nombreux panels couvraient plusieurs catégories à la fois, en utilisant le système de routage du trafic de Keitaro pour diriger les victimes vers différents types d'escroqueries en fonction de leur situation géographique, de leur appareil ou de l'heure de la journée.

Catégorie d'abusDescription
Arnaques liées aux cryptomonnaies Fausses plateformes d'investissement, programmes visant à vider les portefeuilles, pages d'atterrissage frauduleuses liées à la pig butchering
Hameçonnage Collecte d'identifiants pour les banques, les fournisseurs de messagerie électronique et les réseaux sociaux
Diffusion de logiciels malveillantsLivraison de chargeurs, mise en place de ransomware, téléchargements automatiques
Fraude au commerce électroniqueMagasins frauduleux, produits contrefaits, clonage de cartes de paiement
Arnaques sur les sites de rencontreArnaques sentimentales, pages de destination dédiées au chantage sexuel, faux profils
Fraude dans le domaine des jeux d'argent Casinos sans licence, plateformes de paris truquées, détournement de dépôts

Note méthodologique

Chaque panneau a été vérifié à l'aide d'au moins deux méthodes de détection indépendantes avant d'être classé. Les faux positifs ont été examinés manuellement et exclus. Le chiffre de 1 565 ne concerne que les installations Keitaro confirmées et actives ; le nombre réel de déploiements, y compris ceux protégés par des couches de sécurité supplémentaires, est certainement plus élevé.

Liste des prévenus

Keitaro TDS n'est pas seulement utilisé par des escrocs de bas étage. Il s'agit de l'infrastructure de dissimulation privilégiée par certaines des organisations cybercriminelles les plus dangereuses de la planète. Voici la liste des clients recensés :

EvilCorp

Le réseau criminel russe visé par des sanctions utilise Keitaro pour contourner les sanctions internationales. En dissimulant ses opérations derrière le trafic acheminé par Keitaro, EvilCorp échappe aux contrôles de sécurité précisément destinés à la démanteler. Chaque clic acheminé via Keitaro constitue une violation des sanctions rendue possible par le logiciel d’Apliteni OU.

Ransomware LockBit

Le groupe de ransomware LockBit s'est servi de Keitaro pour diffuser ses logiciels malveillants, en exploitant ses capacités de dissimulation afin de s'assurer que seules les cibles réelles recevaient les charges utiles du ransomware, tandis que les environnements de test de sécurité et les chercheurs ne voyaient que du contenu inoffensif. Keitaro a ainsi joué un rôle déterminant dans l'une des opérations de ransomware les plus destructrices de l'histoire.

VexTrio

Le plus grand client connu de Keitaro. VexTrio opère avec Plus de 60 affiliés et commandes Plus de 86 832 domaines, qui acheminent toutes le trafic via le moteur de distribution de Keitaro. Cette opération unique représente une part considérable du trafic publicitaire malveillant sur Internet, et Keitaro en est la colonne vertébrale qui lui permet de rester invisible.

ClearFake

ClearFake insère de fausses invites de mise à jour du navigateur dans des sites web compromis, diffusant ainsi des logiciels malveillants lorsque les victimes cliquent sur « Mettre à jour ». La technique de dissimulation de Keitaro garantit que seuls les véritables visiteurs voient la fenêtre contextuelle malveillante — les scanners de sécurité ne voient quant à eux que le site web d'origine, sain. Résultat : une diffusion de logiciels malveillants avec un taux de détection quasi nul.

FakeBat

FakeBat est un chargeur de logiciels malveillants diffusé par le biais de campagnes publicitaires malveillantes. Keitaro achemine le trafic publicitaire via un moteur de décision : les outils de sécurité sont redirigés vers des pages de téléchargement de logiciels légitimes, tandis que les véritables utilisateurs se voient proposer des programmes d'installation infectés par des chevaux de Troie. Keitaro rend les campagnes de publicité malveillante de FakeBat pratiquement invisibles aux yeux des équipes de sécurité des plateformes publicitaires.

Doppelgänger

Une campagne de désinformation liée à l'État russe qui utilise Keitaro pour diffuser de la propagande sur les réseaux sociaux occidentaux. Grâce à l'empreinte géographique et à l'empreinte numérique des appareils de Keitaro, les modérateurs de contenu et les vérificateurs de faits voient des contenus différents de ceux destinés aux populations ciblées. Une guerre de l'information, rendue possible par un logiciel commercial estonien.

« Nous avons trouvé des traces de Keitaro dans toutes les opérations majeures de cybercriminalité sur lesquelles nous avons enquêté au cours des 18 derniers mois. Ce n’est pas une coïncidence : c’est la norme dans le milieu criminel. »

— Équipe de recherche PhishDestroy

Méthodologie de détection en 7 points

Au cours de cette enquête, PhishDestroy a mis au point sept méthodes indépendantes permettant d'identifier les déploiements du TDS Keitaro. Chaque méthode cible une empreinte distincte laissée par Keitaro, et, ensemble, elles forment un cadre de détection complet désormais disponible sous forme d'outils open source.

1. /click_api/v3 Point d'extrémité

Point de terminaison de l'API principale de Keitaro pour le traitement des événements de clic. Ce chemin d'accès est codé en dur dans le logiciel et présent dans chaque installation. La vérification de l'existence de ce point de terminaison constitue le moyen le plus rapide de confirmer un déploiement de Keitaro. Une réponse 200 ou 302 sur ce chemin d'accès constitue une confirmation quasi certaine de la présence de Keitaro.

2. _lp / _token / _subid Paramètres d'URL

Keitaro ajoute des paramètres de suivi spécifiques aux URL au cours des chaînes de redirection. Le _lp Ce paramètre identifie la page de destination, _token prend en charge l'authentification par session, et _subid suit les sources des sous-affiliés. Ces paramètres sont propres à Keitaro et apparaissent rarement dans les systèmes de gestion du trafic légitimes.

3. Cookies spécifiques à Keitaro

Keitaro installe des cookies spécifiques pour suivre les sessions des visiteurs et maintenir l'état de masquage. Ces cookies respectent des conventions de nommage différentes de celles des plateformes d'analyse standard, ce qui permet de les identifier via l'inspection du navigateur ou une analyse automatisée des cookies.

4. Modèles d'en-têtes de réponse

Les réponses du serveur de Keitaro contiennent des modèles d'en-têtes HTTP caractéristiques, notamment des directives « cache-control » spécifiques, des en-têtes personnalisés et des chaînes d'identification du serveur qui diffèrent de celles des serveurs web standard. Ces en-têtes persistent même lorsque les opérateurs tentent de personnaliser leurs installations.

5. Chaînes de redirection JavaScript

Keitaro met en œuvre des redirections JavaScript en plusieurs étapes afin d'évaluer les empreintes numériques des visiteurs avant de décider s'il faut afficher la page frauduleuse ou la page légitime. Ces chaînes de redirection suivent des schémas prévisibles — noms de variables spécifiques, séquences temporelles et logique d'évaluation — qui peuvent être détectés grâce à une analyse statique et dynamique du code JavaScript.

Carte thermique mondiale : 1 565 panneaux Keitaro TDS détectés à travers le monde, aucune utilisation légitime identifiée
Carte thermique mondiale : 1 565 panneaux Keitaro TDS détectés à travers le monde, aucune utilisation légitime identifiée
6. Analyse des modèles de domaine

Les opérateurs de Keitaro ont tendance à enregistrer des noms de domaine en suivant des conventions de nommage et des schémas d'enregistrement prévisibles. L'analyse en masse de ces noms de domaine révèle des groupes de domaines présentant des données WHOIS, des dates d'enregistrement, des configurations de serveurs de noms et des hébergeurs similaires — autant d'éléments qui indiquent des déploiements coordonnés de Keitaro.

7. Identification par empreinte digitale dans le panneau d'administration

Les panneaux d'administration de Keitaro sont accessibles via des chemins d'accès connus et renvoient des structures HTML, des noms de classes CSS et des fichiers JavaScript caractéristiques. Même lorsque les administrateurs modifient l'URL de connexion par défaut, le framework front-end du panneau laisse des traces identifiables qui peuvent être détectées par énumération des chemins d'accès et analyse d'empreintes de contenu.

Défense en profondeur

Aucune méthode de détection n'est infaillible. Des opérateurs expérimentés peuvent désactiver ou modifier certaines signatures. C'est pourquoi la méthodologie en 7 points fonctionne comme un système à plusieurs niveaux : même si un opérateur parvient à éliminer trois ou quatre signatures, les méthodes restantes signaleront tout de même le déploiement. Lors de nos tests, chaque panneau Keitaro a pu être détecté par au moins quatre des sept méthodes.

Carte mondiale des infrastructures

Les 1 565 panneaux Keitaro sont répartis sur une infrastructure d'hébergement mondiale qui privilégie les fournisseurs de VPS bon marché et les juridictions où les délais de réponse en cas d'abus sont longs. Voici où se trouvent ces panneaux :

RégionFournisseurs d'hébergementRemarques
États-UnisDigitalOcean, Vultr La plus grande concentration de serveurs. L'hébergement basé aux États-Unis garantit des temps de réponse rapides pour les victimes nord-américaines.
Pays-BasDivers serveurs virtuels (VPS) Très apprécié pour les campagnes destinées au marché européen. Politiques d'hébergement souples.
AllemagneHetzner, divers Pôle majeur pour les opérations de hameçonnage et de fraude au commerce électronique visant l'Union européenne.
RussieDivers modèles pare-balles Port d'attache de nombreux opérateurs. Fournisseurs d'hébergement n'appliquant aucune mesure de lutte contre les abus.
Royaume-UniDivers services cloud Utilisé pour cibler des institutions financières et des services publics britanniques.
Hong KongCluster Femo Un groupe distinct de sites associés à des escroqueries cryptographiques ciblant l'Asie. Le « groupe Femo » opère de manière coordonnée.

La domination américaine

C'est aux États-Unis que l'on trouve la plus grande concentration de panneaux Keitaro, principalement sur DigitalOcean et Vultr. Il s'agit de fournisseurs de services cloud grand public qui traitent les signalements d'abus — mais le volume des déploiements et la rapidité avec laquelle les opérateurs créent de nouvelles instances font que les équipes chargées de la lutte contre les abus sont constamment en train de courir après le temps.

Le cluster Femo

Un groupe distinct de panneaux Keitaro, opérant à partir d'infrastructures situées à Hong Kong, cible les marchés asiatiques avec des escroqueries liées aux cryptomonnaies et des fraudes liées aux jeux d'argent. Le « groupe Femo » présente des schémas de déploiement coordonnés qui laissent supposer qu'un seul opérateur ou un groupe organisé gère simultanément des dizaines de panneaux.

Backend AWS

Quel que soit l'endroit où sont hébergés les panneaux d'interface utilisateur, le stockage central des données de Keitaro s'effectue sur Amazon Web Services (AWS). Cela signifie que les empreintes numériques des visiteurs, les journaux de redirection et les données de ciblage concernant potentiellement des millions de victimes d'escroqueries sont stockés sur l'infrastructure d'Amazon. Avec une durée de conservation des données pouvant aller jusqu'à 9,75 ans, AWS héberge l'une des plus grandes bases de données de victimes d'escroqueries qui existent.

Lancement d'outils open source

Parallèlement à cette enquête, PhishDestroy publie une suite complète d'outils de détection open source. Tous ces outils sont gratuits, ne nécessitent aucune clé API et peuvent être déployés immédiatement. L'ensemble complet des données, comprenant 1 565 panneaux, est inclus.

Répertoire complet des preuves

Tous les outils, données et éléments probants sont publiés sur phishdestroy.github.io/ScamIntelLogs/keitaro/. Ce référentiel est public et sera mis à jour à mesure que de nouveaux panneaux seront découverts. Les contributions de la communauté et les méthodes de détection supplémentaires sont les bienvenues.

Détecter, signaler, démanteler

Comment nous avons détecté les panneaux TDS de Keitaro — méthodologie d'identification par empreinte numérique
Comment nous avons détecté les panneaux TDS de Keitaro — méthodologie d'identification par empreinte numérique
Flux de trafic Keitaro TDS — comment des panneaux malveillants redirigent les victimes
Flux de trafic Keitaro TDS — comment des panneaux malveillants redirigent les victimes

Keitaro TDS est l'infrastructure invisible qui permet aux escroqueries de perdurer. Chaque panneau que vous signalez, chaque détection que vous effectuez et chaque ensemble de données que vous partagez contribuent à démanteler cet écosystème. Utilisez les outils. Partagez les données. Signalez ce que vous découvrez.

#KeitaroTDS#TrafficDistribution#Malvertising#ScamInfra#Investigation

Recherches connexes

L'épidémie des faux casinos : 5 sites démasqués
Analyse comparative de 4 opérations de casino en mode PaaS ayant fait 383 victimes identifiées dans plus de 30 pays.
La boîte à outils « Crypto Drainer » dévoilée
Comment TRXDrop et NiceCrypto exploitent les connexions aux portefeuilles pour voler des actifs cryptographiques.
Le projet : un empire de l'escroquerie de 10 millions de dollars
Au cœur de l'empire de l'escroquerie qui mène des opérations de fraude industrialisées à très grande échelle.
Comparaison des réseaux d'escroquerie
Comparaison côte à côte des structures, des outils et des méthodes opérationnelles des réseaux organisés d'escroquerie.
Outils et services PhishDestroy
Une suite complète d'outils open source de détection, d'analyse et de génération de rapports destinés aux chercheurs en sécurité.
Anatomie d'un retrait
Guide détaillé expliquant étape par étape comment nous démantelons les infrastructures de hameçonnage.
Avis de transparence. PhishDestroy est un projet indépendant à but non lucratif. Nos recherches peuvent refléter un parti pris inhérent à l'encontre des infrastructures d'escroquerie et des services qui les facilitent. Nous encourageons les lecteurs à évaluer l'ensemble de ces informations de manière critique et indépendante. Consultez notre déclaration de transparence complète →