Le moteur de dissimulation derrière toutes les escroqueries que vous n’avez jamais vues. PhishDestroy a analysé plus de 50 000 sites, découvert 1 565 panneaux d’administration Keitaro TDS et n’a trouvé aucun déploiement légitime. Chaque panneau était lié à une fraude cryptographique, à du phishing, à la distribution de logiciels malveillants, voire pire. Parmi les clients, on trouve EvilCorp, le ransomware LockBit et VexTrio. Une boîte à outils de détection open source, une méthodologie en 7 points et un fichier CSV complet du panneau sont désormais disponibles.
~10 min de lecture· Mise à jour Mars 2026· PhishDestroy Intelligence
1 565 panneaux trouvésTaux de malveillance de 100 %7 méthodes de détection4 outils mis à disposition
0
Panneaux d'administration trouvés
Plus de 50 000
Sites analysés
0%
Utilisations légitimes
7
Méthodes de détection
Qu'est-ce que le Keitaro TDS ?
Keitaro TDS est un système commercial de répartition du trafic commercialisé par Fais de ton mieux, une société constituée en Estonie. À première vue, il se présente comme un outil de gestion du trafic destiné aux spécialistes du marketing d'affiliation. En réalité, il s'agit du moteur de cloaking le plus largement utilisé dans l'écosystème mondial de la fraude.
Le cloaking consiste à afficher un contenu différent selon les visiteurs. Lorsqu'un chercheur en sécurité, un modérateur publicitaire ou un agent des forces de l'ordre consulte une URL, Keitaro les identifie et leur présente une page propre et inoffensive. Lorsqu'une véritable victime consulte la même URL, elle est redirigée vers des escroqueries cryptographiques, des pages de phishing, des téléchargements de logiciels malveillants ou des sites de commerce électronique frauduleux. La victime ne voit jamais la version propre. L'analyste ne voit jamais l'arnaque.
Les prix chez Keitaro vont de De 40 à 400 euros par mois, ce qui en fait une infrastructure de lutte contre la fraude de niveau professionnel. Elle stocke les données des visiteurs pendant une durée pouvant aller jusqu'à 9,75 ans, offrant ainsi aux opérateurs un immense ensemble de données comprenant les empreintes digitales des victimes, des données géographiques et des profils comportementaux. Toutes ces données sont stockées sur Infrastructure AWS, ce qui signifie qu'Amazon héberge, à son insu, l'infrastructure technique de milliers d'opérations frauduleuses.
Société écran
Fais de ton mieux Opérant depuis l'Estonie, l'entreprise tire parti du programme d'e-résidence du pays et de la législation favorable en matière de confidentialité des entreprises. Elle se pare d'une apparence de légitimité grâce à un marketing professionnel, à une documentation soignée et à un service client, alors que chaque utilisation avérée de son produit est liée à des activités criminelles. Elle facture entre 40 et 400 € par mois pour ce qui est en réalité une plateforme de « fraude en tant que service » conservant les données pendant près d'une décennie.
Les chiffres : 1 565 panneaux, aucun valide
L'enquête de PhishDestroy est partie d'une hypothèse simple : si Keitaro TDS a des utilisations légitimes, nous devrions en trouver en grand nombre. Nous avons analysé Plus de 50 000 sites en combinant des outils automatisés et une vérification manuelle, à la recherche spécifique des signatures caractéristiques de Keitaro TDS. Nos conclusions étaient sans équivoque.
1 565 panneaux d'administration Keitaro actifs ont été découverts. Nous les avons tous analysés. Résultat : aucun déploiement valide. Aucun panel n'était utilisé à des fins légitimes de marketing d'affiliation, de tests A/B ou à toute autre fin inoffensive. Tous les panels — à 100 % — étaient liés à des activités criminelles.
1,565
Panneaux actifs
100 %
Taux de malveillance
Plus de 50 000
Sites analysés
Neuf ans et trois quarts
Durée maximale de conservation des données
Répartition par catégorie d'abus
Les 1 565 panneaux ont été répartis entre six grandes catégories d'abus. Bon nombre d'entre eux couvraient plusieurs catégories à la fois, utilisant le système de routage du trafic de Keitaro pour diriger les victimes vers différents types d'escroqueries en fonction de leur situation géographique, de leur appareil ou de l'heure de la journée.
Catégorie d'abus
Description
Arnaques liées aux cryptomonnaies
Fausses plateformes d'investissement, applications qui vident les portefeuilles, pages d'accueil trompeuses
Hameçonnage
Vol d'identifiants pour les banques, les fournisseurs de messagerie électronique et les réseaux sociaux
Diffusion de logiciels malveillants
Livraison de chargeurs, mise en place de ransomware, téléchargements automatiques
Fraude dans le commerce électronique
Fausses boutiques, contrefaçons, piratage de cartes de paiement
Arnaques sur les sites de rencontre
Escroqueries sentimentales, pages de destination de sextorsion, faux profils
Fraude dans le domaine des jeux d'argent
Casinos sans licence, plateformes de paris truquées, détournement de dépôts
Note méthodologique
Chaque panneau a été vérifié à l'aide d'au moins deux méthodes de détection indépendantes avant d'être classé. Les faux positifs ont été examinés manuellement et écartés. Le chiffre de 1 565 ne concerne que les installations confirmées et actives de Keitaro ; le nombre réel de déploiements, y compris ceux protégés par des couches de sécurité supplémentaires, est certainement plus élevé.
Appel des clients en matière pénale
Keitaro TDS n'est pas seulement utilisé par des escrocs de bas étage. C'est l'infrastructure de dissimulation privilégiée par certaines des organisations cybercriminelles les plus dangereuses de la planète. Voici la liste des clients recensés :
EvilCorp
Le réseau criminel russe visé par des sanctions utilise Keitaro pour contourner les sanctions internationales. En dissimulant ses activités derrière le trafic acheminé par Keitaro, EvilCorp échappe aux contrôles de sécurité mis en place pour la démanteler. Chaque clic acheminé via Keitaro constitue une violation des sanctions rendue possible par le logiciel d'Apliteni OU.
Ransomware LockBit
Le groupe de ransomware LockBit a exploité Keitaro pour diffuser ses logiciels malveillants, en tirant parti de ses capacités de camouflage pour s'assurer que seules les cibles réelles recevaient les charges utiles du ransomware, tandis que les environnements de test de sécurité et les chercheurs ne voyaient que du contenu inoffensif. Keitaro a ainsi joué un rôle déterminant dans l'une des opérations de ransomware les plus destructrices de l'histoire.
VexTrio
Le plus gros client connu de Keitaro. VexTrio opère avec Plus de 60 affiliés et commandes 86,832+ domains, qui acheminent toutes le trafic via le moteur de distribution de Keitaro. Cette seule opération représente une part considérable du trafic publicitaire malveillant sur Internet, et Keitaro en est la colonne vertébrale qui lui permet de rester invisible.
ClearFake
ClearFake insère de fausses invites de mise à jour du navigateur dans les sites web compromis, diffusant ainsi des logiciels malveillants lorsque les victimes cliquent sur « Mettre à jour ». Grâce à la technique de camouflage de Keitaro, seuls les véritables visiteurs voient la fenêtre contextuelle malveillante, tandis que les scanners de sécurité ne voient que le site web d'origine, sain. Résultat : une diffusion de logiciels malveillants avec un taux de détection quasi nul.
FakeBat
FakeBat est un chargeur de logiciels malveillants diffusé par le biais de campagnes publicitaires malveillantes. Keitaro achemine le trafic publicitaire via un moteur de décision : les outils de sécurité sont redirigés vers des pages de téléchargement de logiciels légitimes, tandis que les utilisateurs réels se voient proposer des programmes d'installation infectés par des chevaux de Troie. Keitaro rend les campagnes de publicité malveillante de FakeBat pratiquement indétectables pour les équipes de sécurité des plateformes publicitaires.
Double
Une campagne de désinformation liée à l'État russe qui utilise Keitaro pour diffuser de la propagande sur les réseaux sociaux occidentaux. Grâce à l'empreinte géographique et à l'empreinte numérique des appareils de Keitaro, les modérateurs de contenu et les vérificateurs de faits voient des contenus différents de ceux destinés aux populations ciblées. Une guerre de l'information, rendue possible par un logiciel commercial estonien.
« Nous avons retrouvé des traces de Keitaro dans toutes les opérations de cybercriminalité majeures sur lesquelles nous avons enquêté au cours des 18 derniers mois. Ce n’est pas une coïncidence : c’est la norme dans le milieu criminel. »
— Équipe de recherche PhishDestroy
Méthodologie de détection en 7 points
Au cours de cette enquête, PhishDestroy a mis au point sept méthodes distinctes permettant d'identifier les déploiements du logiciel malveillant Keitaro. Chaque méthode cible une empreinte distincte laissée par Keitaro, et ensemble, elles constituent un cadre de détection complet désormais disponible sous forme d'outils open source.
1. /click_api/v3 Terminal
Point de terminaison de l'API principale de Keitaro pour le traitement des événements de clic. Ce chemin d'accès est codé en dur dans le logiciel et présent dans chaque installation. La recherche de ce point de terminaison est le moyen le plus rapide de confirmer un déploiement de Keitaro. Une réponse 200 ou 302 sur ce chemin d'accès constitue une confirmation quasi certaine.
2. _lp / _token / _subid Paramètres d'URL
Keitaro ajoute des paramètres de suivi spécifiques aux URL lors des chaînes de redirection. Le _lp Ce paramètre identifie la page de destination, _token prend en charge l'authentification par session, et _subid suit les sources des sous-affiliés. Ces paramètres sont propres à Keitaro et apparaissent rarement dans les systèmes de gestion du trafic légitimes.
3. Biscuits spécifiques à Keitaro
Keitaro installe des cookies spécifiques pour suivre les sessions des visiteurs et maintenir l'état de masquage. Ces cookies suivent des conventions de nommage qui diffèrent de celles des plateformes d'analyse standard, ce qui permet de les identifier par l'intermédiaire d'une inspection du navigateur ou d'une analyse automatisée des cookies.
4. Modèles d'en-têtes de réponse
Les réponses du serveur de Keitaro contiennent des modèles d'en-têtes HTTP caractéristiques, notamment des directives « Cache-Control » spécifiques, des en-têtes personnalisés et des chaînes d'identification du serveur qui diffèrent de celles des serveurs web standard. Ces en-têtes persistent même lorsque les opérateurs tentent de personnaliser leurs installations.
5. Chaînes de redirection JavaScript
Keitaro met en place des redirections JavaScript en plusieurs étapes afin d'analyser les empreintes numériques des visiteurs avant de décider s'il faut afficher la page frauduleuse ou la page légitime. Ces chaînes de redirection suivent des schémas prévisibles — noms de variables spécifiques, séquences temporelles et logique d'évaluation — qui peuvent être détectés grâce à une analyse statique et dynamique du code JavaScript.
Carte thermique mondiale : 1 565 panneaux Keitaro TDS détectés à travers le monde, aucune utilisation légitime identifiée
6. Analyse des modèles de domaine
Les opérateurs Keitaro ont tendance à enregistrer des domaines en suivant des conventions de nommage et des schémas d'enregistrement prévisibles. L'analyse groupée des domaines met en évidence des groupes de domaines présentant des données WHOIS, des dates d'enregistrement, des configurations de serveurs de noms et des hébergeurs similaires, autant d'éléments qui indiquent des déploiements Keitaro coordonnés.
7. Identification par empreinte digitale dans le panneau d'administration
Les panneaux d'administration de Keitaro sont accessibles via des chemins d'accès connus et renvoient des structures HTML, des noms de classes CSS et des fichiers JavaScript caractéristiques. Même lorsque les opérateurs modifient l'URL de connexion par défaut, le framework front-end du panneau laisse des traces identifiables qui peuvent être détectées par énumération des chemins d'accès et empreinte digitale du contenu.
Défense en profondeur
Aucune méthode de détection n'est infaillible. Des opérateurs expérimentés peuvent désactiver ou modifier certaines signatures. C'est pourquoi la méthodologie en 7 points fonctionne comme un système à plusieurs niveaux : même si un opérateur parvient à éliminer trois ou quatre signatures, les méthodes restantes continueront de signaler le déploiement. Lors de nos tests, chaque panneau Keitaro a pu être détecté par au moins quatre des sept méthodes.
Carte mondiale des infrastructures
Les 1 565 panneaux Keitaro sont répartis sur une infrastructure d'hébergement mondiale qui privilégie les fournisseurs de serveurs virtuels privés (VPS) bon marché et les juridictions où les délais de réponse en cas d'abus sont longs. Voici où se trouvent ces panneaux :
Région
Fournisseurs d'hébergement
Remarques
États-Unis
DigitalOcean, Vultr
La plus grande concentration de serveurs. L'hébergement basé aux États-Unis offre des temps de réponse rapides pour les utilisateurs nord-américains.
Pays-Bas
Divers serveurs virtuels (VPS)
Très apprécié pour les campagnes destinées au marché européen. Politiques d'hébergement souples.
Allemagne
Hetzner, divers
Pôle majeur pour les opérations de hameçonnage et de fraude au commerce électronique visant l'Union européenne.
Russie
Divers modèles pare-balles
Le port d'attache de nombreux opérateurs. Des hébergeurs qui ne prennent aucune mesure contre les abus.
Royaume-Uni
Divers services cloud
Utilisé pour cibler des institutions financières et des services publics britanniques.
Hong Kong
Cluster Femo
Un groupe distinct de sites web liés à des escroqueries cryptographiques ciblant l'Asie. Le « groupe Femo » opère de manière coordonnée.
La domination américaine
C'est aux États-Unis que l'on trouve la plus forte concentration de panels Keitaro, principalement sur DigitalOcean et Vultr. Il s'agit de fournisseurs de services cloud grand public qui traitent les signalements d'abus ; cependant, le volume des déploiements et la rapidité avec laquelle les opérateurs créent de nouvelles instances font que les équipes chargées de la lutte contre les abus sont constamment en train de courir après le temps.
Le cluster Femo
Un groupe distinct de panneaux Keitaro, opérant à partir d'infrastructures situées à Hong Kong, cible les marchés asiatiques avec des escroqueries liées aux cryptomonnaies et des fraudes liées aux jeux d'argent. Le « groupe Femo » présente des schémas de déploiement coordonnés qui laissent supposer qu'un seul opérateur ou un groupe organisé gère simultanément des dizaines de panneaux.
Backend AWS
Quel que soit l'endroit où sont hébergés les panneaux d'interface, le stockage central des données de Keitaro fonctionne sur Amazon Web Services (AWS). Cela signifie que les empreintes numériques des visiteurs, les journaux de redirection et les données de ciblage concernant potentiellement des millions de victimes d'escroqueries sont stockés sur l'infrastructure d'Amazon. Avec une durée de conservation des données pouvant aller jusqu'à 9,75 ans, AWS héberge l'une des plus grandes bases de données de victimes d'escroqueries qui existent.
Lancement d'outils open source
Parallèlement à cette enquête, PhishDestroy publie une suite complète d'outils de détection open source. Tous ces outils sont gratuits, ne nécessitent aucune clé API et peuvent être déployés immédiatement. L'ensemble complet des données, comprenant 1 565 panneaux, est inclus.
Tous les outils, données et éléments de preuve sont publiés sur phishdestroy.github.io/ScamIntelLogs/keitaro/. Ce référentiel est public et sera mis à jour à mesure que de nouveaux panneaux seront découverts. Les contributions de la communauté et les méthodes de détection supplémentaires sont les bienvenues.
Détecter, signaler, démanteler
Comment nous avons détecté les panneaux TDS de Keitaro — Méthodologie d'identificationFlux de trafic Keitaro TDS — comment des panneaux malveillants redirigent les victimes
Keitaro TDS est l'infrastructure invisible qui permet aux escroqueries de perdurer. Chaque panneau que vous signalez, chaque détection que vous effectuez et chaque ensemble de données que vous partagez contribue à démanteler cet écosystème. Utilisez les outils. Partagez les données. Signalez ce que vous découvrez.
Avis de transparence. PhishDestroy est un projet à but non lucratif mené par des bénévoles. Nos recherches peuvent refléter un parti pris inhérent à l'encontre des infrastructures d'escroquerie et des services qui les rendent possibles. Nous encourageons les lecteurs à évaluer toutes les informations de manière critique et indépendante. Lire notre déclaration de transparence complète →
