Mesin penyamaran di balik setiap penipuan yang belum pernah Anda lihat. PhishDestroy telah memindai lebih dari 50.000 situs, menemukan 1.565 panel admin Keitaro TDS, dan tidak menemukan satupun penerapan yang sah. Setiap panel tersebut terkait dengan penipuan kripto, phishing, penyebaran malware, atau bahkan hal yang lebih buruk. Kliennya antara lain EvilCorp, ransomware LockBit, dan VexTrio. Perangkat deteksi sumber terbuka, metodologi 7 poin, dan file CSV panel lengkap kini telah dirilis.
~10 menit waktu baca· Diperbarui Maret 2026· PhishDestroy Intelligence
1.565 Panel DitemukanTingkat Ancaman 100%7 Metode Deteksi4 Alat Telah Dirilis
0
Panel Admin yang Ditemukan
50,000+
Situs yang Telah Diperiksa
0%
Penggunaan yang Sah
7
Metode Deteksi
Apa Itu Keitaro TDS?
Keitaro TDS adalah Sistem Distribusi Lalu Lintas komersial yang dijual oleh Apliteni OU, sebuah perusahaan yang didirikan di Estonia. Di permukaan, layanan ini mempromosikan dirinya sebagai alat pengelolaan lalu lintas untuk pemasar afiliasi. Namun pada kenyataannya, layanan ini merupakan mesin penyamaran yang paling banyak digunakan dalam ekosistem penipuan global.
Cloaking adalah teknik untuk menampilkan konten yang berbeda kepada pengunjung yang berbeda. Ketika seorang peneliti keamanan, peninjau iklan, atau petugas penegak hukum mengunjungi sebuah URL, Keitaro mengidentifikasi mereka dan menampilkan halaman yang bersih dan tidak mencurigakan. Ketika korban yang sebenarnya mengunjungi URL yang sama, mereka akan dialihkan ke penipuan kripto, halaman phishing, unduhan malware, atau situs e-commerce palsu. Korban tidak pernah melihat versi yang bersih. Analis tidak pernah melihat penipuan tersebut.
Kisaran harga Keitaro mulai dari €40 hingga €400 per bulan, sehingga menjadikannya sebagai infrastruktur pencegahan penipuan kelas korporat. Sistem ini menyimpan data pengunjung hingga 9,75 tahun, sehingga operator memiliki kumpulan data yang sangat besar berisi sidik jari korban, data geografis, dan profil perilaku. Seluruh data ini disimpan di Infrastruktur AWS, yang berarti Amazon tanpa disadari menjadi tuan rumah bagi sistem backend ribuan operasi penipuan.
Perusahaan Cangkang
Apliteni OU Beroperasi dari Estonia, memanfaatkan program e-Residency negara tersebut serta undang-undang privasi korporasi yang menguntungkan. Perusahaan ini mempertahankan citra legitimasi melalui pemasaran profesional, dokumentasi, dan layanan dukungan pelanggan — padahal setiap penerapan produk mereka yang dapat diukur terkait dengan aktivitas kriminal. Mereka mengenakan biaya €40–400 per bulan untuk platform yang pada dasarnya merupakan "scam-as-a-service" dengan masa penyimpanan data hampir satu dekade.
Angka-angkanya: 1.565 Panel, Nol yang Sah
Penelitian PhishDestroy dimulai dengan sebuah hipotesis sederhana: jika Keitaro TDS memiliki kegunaan yang sah, kita seharusnya dapat menemukannya dalam skala besar. Kami melakukan pemindaian Lebih dari 50.000 situs dengan menggunakan kombinasi alat otomatis dan verifikasi manual, yang secara khusus mencari jejak Keitaro TDS. Temuan kami sangat jelas.
1.565 panel admin Keitaro yang aktif telah ditemukan. Kami menganalisis semuanya satu per satu. Hasilnya: tidak ada penerapan yang sah. Tak satu pun panel tersebut digunakan untuk pemasaran afiliasi yang sah, pengujian A/B, atau tujuan lain yang tidak berbahaya. Setiap panel — 100 persen — terkait dengan kegiatan kriminal.
1,565
Panel Aktif
100%
Tingkat Kejahatan
50 ribu+
Situs yang Telah Diperiksa
9,75 tahun
Batas Maksimum Penyimpanan Data
Rincian Kategori Kekerasan
Sebanyak 1.565 panel tersebut tersebar di enam kategori penipuan utama. Banyak panel yang melayani beberapa kategori sekaligus, dengan memanfaatkan sistem perutean lalu lintas Keitaro untuk mengarahkan korban ke berbagai jenis penipuan berdasarkan lokasi geografis, perangkat, atau waktu dalam sehari.
Kasino ilegal, platform taruhan yang dimanipulasi, pencurian dana setoran
Catatan Metodologi
Setiap panel diverifikasi melalui setidaknya dua metode deteksi independen sebelum diklasifikasikan. Hasil positif palsu ditinjau secara manual dan disingkirkan. Angka 1.565 tersebut hanya mewakili instalasi Keitaro yang terkonfirmasi dan aktif — jumlah sebenarnya dari penerapan tersebut, termasuk yang berada di balik lapisan perlindungan tambahan, tentu saja lebih tinggi.
Panggilan Nama Klien Kasus Pidana
Keitaro TDS tidak hanya digunakan oleh penipu kelas teri. Ini adalah infrastruktur penyamaran pilihan bagi beberapa organisasi kejahatan siber paling berbahaya di dunia. Berikut adalah daftar klien yang tercatat:
EvilCorp
Sindikat kejahatan siber Rusia yang terkena sanksi tersebut memanfaatkan Keitaro untuk menerobos sanksi internasional. Dengan menyamarkan operasi mereka di balik distribusi lalu lintas Keitaro, EvilCorp berhasil menghindari sistem pengamanan yang justru dirancang untuk memblokir aktivitas mereka. Setiap klik yang dialihkan melalui Keitaro merupakan pelanggaran sanksi yang dimungkinkan oleh perangkat lunak milik Apliteni OU.
Ransomware LockBit
Kelompok ransomware LockBit memanfaatkan Keitaro untuk mendistribusikan malware, dengan menggunakan kemampuan penyamaran Keitaro untuk memastikan bahwa hanya target yang sebenarnya yang menerima muatan ransomware, sementara sandbox keamanan dan para peneliti hanya melihat konten yang tidak berbahaya. Keitaro berperan sebagai penguat daya bagi salah satu operasi ransomware paling merusak dalam sejarah.
VexTrio
Klien Keitaro terbesar yang diketahui. VexTrio beroperasi dengan Lebih dari 60 mitra afiliasi dan pengaturan 86.832+ domain, yang semuanya mengalirkan lalu lintas melalui mesin distribusi Keitaro. Operasi tunggal ini mencakup porsi yang sangat besar dari lalu lintas iklan berbahaya di internet, dan Keitaro adalah tulang punggung yang membuatnya tetap tersembunyi.
ClearFake
ClearFake menyisipkan pesan pembaruan browser palsu ke dalam situs web yang telah diretas, sehingga menyebarkan malware saat korban mengklik tombol "Perbarui." Fitur penyamaran Keitaro memastikan bahwa hanya pengunjung asli yang melihat overlay berbahaya tersebut — sementara pemindai keamanan hanya melihat situs web asli yang bersih. Hasilnya: penyebaran malware dengan tingkat deteksi yang nyaris nol.
FakeBat
FakeBat adalah pemuat malware yang disebarkan melalui kampanye iklan berbahaya. Keitaro mengarahkan lalu lintas iklan melalui mesin pengambilan keputusan: alat keamanan dialihkan ke halaman unduhan perangkat lunak yang sah, sementara pengguna asli disuguhi penginstal yang telah disusupi trojan. Keitaro membuat kampanye iklan berbahaya FakeBat hampir tak terdeteksi oleh tim keamanan platform iklan.
Doppelganger
Sebuah kampanye disinformasi yang terkait dengan pemerintah Rusia yang memanfaatkan Keitaro untuk menyebarkan propaganda di berbagai platform media sosial Barat. Teknologi sidik jari geografis dan perangkat Keitaro memastikan bahwa moderator konten dan pemeriksa fakta melihat konten yang berbeda dari yang dilihat oleh kelompok sasaran. Perang informasi ini didukung oleh perangkat lunak komersial asal Estonia.
"Kami menemukan jejak Keitaro dalam setiap operasi kejahatan siber besar yang kami selidiki selama 18 bulan terakhir. Ini bukan kebetulan — ini adalah standar industri bagi para penjahat."
— Tim Riset PhishDestroy
Metodologi Deteksi 7 Poin
Selama proses penyelidikan ini, PhishDestroy mengembangkan tujuh metode independen untuk mengidentifikasi implementasi Keitaro TDS. Setiap metode menargetkan jejak digital berbeda yang ditinggalkan oleh Keitaro, dan secara bersama-sama metode-metode tersebut membentuk kerangka kerja deteksi yang komprehensif yang kini tersedia sebagai perangkat lunak sumber terbuka.
1. /click_api/v3 Titik akhir
Titik akhir API inti Keitaro untuk memproses peristiwa klik. Jalur ini sudah ditetapkan secara permanen dalam perangkat lunak dan selalu ada pada setiap instalasi. Memeriksa titik akhir ini merupakan cara tercepat untuk memastikan keberadaan implementasi Keitaro. Respons 200 atau 302 pada jalur ini hampir pasti menandakan keberadaan Keitaro.
2. _lp / _token / _subid Parameter URL
Keitaro menambahkan parameter pelacakan khusus ke URL selama rantai pengalihan. Hal ini _lp parameter tersebut mengidentifikasi halaman arahan, _token mendukung otentikasi sesi, dan _subid melacak sumber sub-afiliasi. Parameter-parameter ini hanya ada di Keitaro dan jarang muncul dalam sistem manajemen lalu lintas yang sah.
3. Kue Khas Keitaro
Keitaro menetapkan cookie khusus untuk melacak sesi pengunjung dan mempertahankan status penyamaran. Cookie-cookie ini mengikuti konvensi penamaan yang berbeda dari platform analitik standar, sehingga dapat diidentifikasi melalui pemeriksaan browser atau analisis cookie otomatis.
4. Pola Header Respons
Respons server Keitaro mengandung pola header HTTP yang khas, termasuk direktif cache-control tertentu, header khusus, dan string identifikasi server yang berbeda dari server web standar. Header-header ini tetap ada meskipun operator mencoba menyesuaikan pengaturan server mereka.
5. Rantai Pengalihan JavaScript
Keitaro menerapkan pengalihan JavaScript bertahap untuk mengevaluasi sidik jari pengunjung sebelum memutuskan apakah akan menampilkan halaman penipuan atau halaman yang aman. Rantai pengalihan ini mengikuti pola yang dapat diprediksi — nama variabel tertentu, urutan waktu, dan logika evaluasi — yang dapat dideteksi melalui analisis JavaScript statis dan dinamis.
Peta panas dunia: 1.565 panel Keitaro TDS terdeteksi di seluruh dunia, tidak ditemukan penggunaan yang sah
6. Analisis Pola Domain
Operator Keitaro cenderung mendaftarkan domain dengan mengikuti konvensi penamaan dan pola pendaftaran yang dapat diprediksi. Analisis domain secara massal menunjukkan adanya kelompok-kelompok domain yang memiliki data WHOIS, tanggal pendaftaran, konfigurasi nameserver, dan penyedia hosting yang serupa — yang semuanya mengindikasikan adanya penerapan Keitaro yang terkoordinasi.
7. Identifikasi Panel Admin
Panel admin Keitaro dapat diakses melalui jalur yang sudah diketahui dan menghasilkan struktur HTML, nama kelas CSS, serta berkas JavaScript yang khas. Bahkan ketika operator mengubah URL login default, kerangka kerja frontend panel tersebut tetap meninggalkan jejak yang dapat dikenali, yang bisa dideteksi melalui enumerasi jalur dan sidik jari konten.
Pertahanan Berlapis
Tidak ada satu pun metode deteksi yang benar-benar sempurna. Operator yang terampil mungkin dapat menonaktifkan atau memodifikasi tanda sidik jari tertentu. Itulah sebabnya metodologi 7 poin ini berfungsi sebagai sistem berlapis — bahkan jika seorang operator berhasil menghilangkan tiga atau empat tanda sidik jari, metode-metode yang tersisa tetap akan mendeteksi pemasangan tersebut. Dalam pengujian kami, setiap panel Keitaro dapat terdeteksi oleh setidaknya empat dari tujuh metode tersebut.
Peta Infrastruktur Global
1.565 panel Keitaro tersebar di seluruh infrastruktur hosting global yang lebih mengutamakan penyedia VPS murah dan yurisdiksi dengan waktu respons penyalahgunaan yang lambat. Berikut ini lokasi panel-panel tersebut:
Wilayah
Penyedia Layanan Hosting
Catatan
Amerika Serikat
DigitalOcean, Vultr
Konsentrasi panel terbesar. Layanan hosting yang berbasis di AS menawarkan waktu respons yang cepat bagi para korban di Amerika Utara.
Belanda
Berbagai VPS
Populer untuk kampanye yang menyasar pasar Eropa. Kebijakan hosting yang fleksibel.
Jerman
Hetzner, berbagai
Hub utama bagi operasi phishing dan penipuan e-commerce yang menargetkan Uni Eropa.
Rusia
Berbagai jenis pelindung peluru
Markas bagi banyak operator. Penyedia layanan hosting yang sama sekali tidak menerapkan kebijakan penindakan penyalahgunaan.
Britania Raya
Berbagai layanan cloud
Digunakan untuk menyerang lembaga keuangan dan layanan pemerintah di Inggris.
Hong Kong
Kluster Femo
Kelompok panel yang khas yang terkait dengan penipuan kripto yang menargetkan wilayah Asia. "Kelompok Femo" beroperasi sebagai kelompok yang terkoordinasi.
Dominasi AS
Amerika Serikat menjadi tempat berkumpulnya panel Keitaro dalam jumlah terbesar, terutama di DigitalOcean dan Vultr. Kedua penyedia layanan cloud utama ini memang memproses laporan penyalahgunaan — namun, mengingat banyaknya penyebaran layanan dan kecepatan operator dalam membuat instans baru, tim penanggulangan penyalahgunaan terus-menerus harus berupaya mengejar ketertinggalan.
Kluster Femo
Sebuah klaster panel Keitaro yang terpisah, beroperasi melalui infrastruktur di Hong Kong, yang menargetkan pasar Asia dengan penipuan kripto dan penipuan perjudian. "Klaster Femo" ini menunjukkan pola penyebaran yang terkoordinasi, yang mengindikasikan adanya satu operator atau kelompok terorganisir yang mengelola puluhan panel secara bersamaan.
Backend AWS
Terlepas dari di mana panel frontend tersebut dihosting, penyimpanan data inti Keitaro berjalan di Amazon Web Services (AWS). Artinya, data sidik jari pengunjung, catatan pengalihan, dan data penargetan yang berpotensi mencakup jutaan korban penipuan tersimpan di infrastruktur Amazon. Dengan masa penyimpanan data hingga 9,75 tahun, AWS menjadi tuan rumah salah satu basis data korban penipuan terbesar yang pernah ada.
Alat-Alat Sumber Terbuka Telah Dirilis
Seiring dengan penyelidikan ini, PhishDestroy merilis rangkaian alat deteksi sumber terbuka yang lengkap. Setiap alatnya gratis, tidak memerlukan kunci API, dan dapat langsung digunakan. Kumpulan data lengkap yang terdiri dari 1.565 panel juga disertakan.
Semua alat, data, dan bukti dipublikasikan di phishdestroy.io/ScamIntelLogs/keitaro/. Repositori ini bersifat terbuka untuk umum dan akan diperbarui seiring ditemukannya panel-panel baru. Kontribusi dari komunitas serta metode deteksi tambahan sangat diharapkan.
Mendeteksi, Melaporkan, Membongkar
Bagaimana kami mendeteksi panel TDS Keitaro — metodologi identifikasi sidik jari Alur lalu lintas Keitaro TDS — bagaimana panel berbahaya mengalihkan korban
Keitaro TDS adalah infrastruktur tak terlihat yang membuat penipuan tetap berlanjut. Setiap panel yang Anda laporkan, setiap deteksi yang Anda lakukan, dan setiap kumpulan data yang Anda bagikan membantu membongkar ekosistem tersebut. Gunakan alat-alatnya. Bagikan datanya. Laporkan apa yang Anda temukan.
Pemberitahuan mengenai transparansi. PhishDestroy adalah proyek independen yang bersifat non-komersial. Penelitian kami mungkin mencerminkan bias bawaan terhadap infrastruktur penipuan dan layanan yang mendukungnya. Kami mendorong para pembaca untuk mengevaluasi semua materi secara kritis dan mandiri. Baca pernyataan transparansi lengkap kami →