Il motore di occultamento alla base di ogni truffa che non avete mai visto. PhishDestroy ha analizzato oltre 50.000 siti, ha individuato 1.565 pannelli di amministrazione Keitaro TDS e non ha rilevato alcuna implementazione legittima. Ogni singolo pannello era collegato a frodi nel settore delle criptovalute, phishing, distribuzione di malware o attività ancora più gravi. Tra i clienti figurano EvilCorp, il ransomware LockBit e VexTrio. Sono ora disponibili il toolkit di rilevamento open source, la metodologia in 7 punti e il file CSV completo dei pannelli.
~10 min di lettura· Aggiornato Marzo 2026· PhishDestroy Intelligence
1.565 pannelli trovatiTasso di maliziosità del 100%7 Metodi di rilevamentoRilasciati 4 strumenti
0
Pannelli di amministrazione individuati
50,000+
Siti analizzati
0%
Usi legittimi
7
Metodi di rilevamento
Che cos’è il Keitaro TDS?
Keitaro TDS è un sistema commerciale di distribuzione del traffico commercializzato da Apliteni OU, una società costituita in Estonia. A prima vista, si presenta come uno strumento di gestione del traffico destinato agli operatori di marketing di affiliazione. In realtà, è il motore di cloaking più diffuso nell’ecosistema globale delle truffe.
Il cloaking è l’arte di mostrare contenuti diversi a visitatori diversi. Quando un ricercatore di sicurezza, un revisore pubblicitario o un funzionario delle forze dell’ordine visita un URL, Keitaro li identifica e mostra loro una pagina pulita e innocua. Quando una vera vittima visita lo stesso URL, viene reindirizzata verso truffe legate alle criptovalute, pagine di phishing, download di malware o siti di e-commerce fraudolenti. La vittima non vede mai la versione pulita. L’analista non vede mai la truffa.
I prezzi di Keitaro vanno da Da 40 a 400 euro al mese, posizionandola come infrastruttura antifrode di livello aziendale. Conserva i dati dei visitatori per un periodo massimo di 9,75 anni, fornendo agli operatori un’enorme quantità di dati relativi alle impronte digitali delle vittime, ai dati geografici e ai profili comportamentali. Tutti questi dati sono archiviati su Infrastruttura AWS, il che significa che Amazon sta inconsapevolmente ospitando il backend di migliaia di operazioni fraudolente.
Società di comodo
Apliteni OU opera dall’Estonia, avvalendosi del programma di e-Residency del Paese e delle leggi favorevoli in materia di riservatezza aziendale. L’azienda mantiene una parvenza di legittimità grazie a strategie di marketing professionali, documentazione e assistenza clienti, mentre ogni impiego misurabile del proprio prodotto è collegato ad attività criminali. Addebita da 40 a 400 euro al mese per quella che è di fatto una piattaforma di “truffa come servizio” con quasi un decennio di conservazione dei dati.
I numeri: 1.565 pannelli, zero legittimi
L'indagine di PhishDestroy è partita da una semplice ipotesi: se Keitaro TDS ha degli usi legittimi, dovremmo individuarli su larga scala. Abbiamo analizzato Oltre 50.000 siti utilizzando una combinazione di strumenti automatizzati e verifiche manuali, alla ricerca specifica delle impronte digitali di Keitaro TDS. Quello che abbiamo scoperto era inequivocabile.
1.565 pannelli di amministrazione Keitaro attivi sono stati scoperti. Li abbiamo analizzati tutti, uno per uno. Il risultato: zero implementazioni legittime. Nessun panel veniva utilizzato per attività legittime di marketing di affiliazione, test A/B o qualsiasi altro scopo innocuo. Ogni panel — il 100% — era collegato ad attività criminali.
1,565
Pannelli attivi
100%
Tasso di attività dannose
50.000+
Siti analizzati
9,75 anni
Periodo massimo di conservazione dei dati
Ripartizione per categorie di abusi
I 1.565 pannelli erano suddivisi in sei categorie principali di abusi. Molti pannelli servivano contemporaneamente più categorie, utilizzando il sistema di instradamento del traffico di Keitaro per indirizzare le vittime verso diversi tipi di truffa in base alla posizione geografica, al dispositivo o all’ora del giorno.
Categoria di abuso
Descrizione
Truffe nel mondo delle criptovalute
Piattaforme di investimento fasulle, truffatori che svuotano i portafogli, pagine di destinazione ingannevoli
Phishing
Raccolta di credenziali per banche, provider di posta elettronica e social media
Distribuzione di malware
Consegna tramite loader, preparazione del ransomware, download drive-by
Frodi nell'e-commerce
Negozi fasulli, merci contraffatte, clonazione delle carte di pagamento
Truffe nei siti di incontri
Truffe romantiche, pagine di destinazione per la sextortion, profili falsi
Frodi nel gioco d'azzardo
Casinò senza licenza, piattaforme di scommesse truccate, furti di depositi
Nota metodologica
Ogni pannello è stato verificato mediante almeno due metodi di rilevamento indipendenti prima di essere classificato. I falsi positivi sono stati esaminati manualmente ed esclusi. Il numero di 1.565 si riferisce esclusivamente alle installazioni Keitaro confermate e attive; il numero effettivo di implementazioni, comprese quelle protette da ulteriori livelli di protezione, è sicuramente più elevato.
Elenco dei clienti in procedimenti penali
Keitaro TDS non è utilizzato solo da truffatori di poco conto. È l'infrastruttura di occultamento preferita da alcune delle organizzazioni criminali informatiche più pericolose del pianeta. Ecco i clienti documentati:
EvilCorp
L'organizzazione criminale russa specializzata in crimini informatici, soggetta a sanzioni, utilizza Keitaro per aggirare le sanzioni internazionali. Nascondendo le proprie operazioni dietro la distribuzione del traffico di Keitaro, EvilCorp elude proprio quei controlli di sicurezza concepiti per bloccarla. Ogni clic instradato tramite Keitaro costituisce una violazione delle sanzioni resa possibile dal software di Apliteni OU.
Ransomware LockBit
Il gruppo di ransomware LockBit ha sfruttato Keitaro per la distribuzione del malware, avvalendosi delle sue capacità di occultamento per garantire che solo i bersagli effettivi ricevessero i payload del ransomware, mentre le sandbox di sicurezza e i ricercatori vedessero contenuti innocui. Keitaro ha rappresentato un moltiplicatore di potenza per una delle operazioni di ransomware più distruttive della storia.
VexTrio
Il più grande cliente di Keitaro di cui si abbia notizia. VexTrio opera con Oltre 60 affiliati e comandi 86.832+ domini, che convogliano tutto il traffico attraverso il motore di distribuzione di Keitaro. Questa singola operazione rappresenta una quota enorme del traffico pubblicitario dannoso su Internet, e Keitaro è la spina dorsale che lo mantiene invisibile.
ClearFake
ClearFake inserisce falsi messaggi di aggiornamento del browser nei siti web compromessi, diffondendo malware quando le vittime cliccano su "Aggiorna". La tecnica di occultamento di Keitaro garantisce che solo i visitatori reali vedano l'overlay dannoso, mentre gli scanner di sicurezza visualizzano il sito web originale e pulito. Il risultato: diffusione di malware con tassi di rilevamento pressoché pari a zero.
FakeBat
FakeBat è un loader di malware distribuito tramite campagne pubblicitarie dannose. Keitaro instrada il traffico pubblicitario attraverso un motore decisionale: gli strumenti di sicurezza vengono reindirizzati verso pagine di download di software legittimo, mentre agli utenti reali vengono proposti programmi di installazione infettati da trojan. Keitaro rende le campagne di malvertising di FakeBat praticamente invisibili ai team di sicurezza delle piattaforme pubblicitarie.
Doppio
Una campagna di disinformazione legata allo Stato russo che utilizza Keitaro per diffondere propaganda sui social media occidentali. Il fingerprinting geografico e dei dispositivi di Keitaro garantisce che i moderatori dei contenuti e i fact-checker vedano contenuti diversi rispetto al pubblico di destinazione. Guerra dell’informazione, alimentata da un software commerciale estone.
"Abbiamo trovato tracce di Keitaro in tutte le principali operazioni di criminalità informatica su cui abbiamo indagato negli ultimi 18 mesi. Non è una coincidenza: è lo standard del settore per i criminali."
— Gruppo di ricerca PhishDestroy
Metodologia di rilevamento in 7 punti
Nel corso di questa indagine, PhishDestroy ha sviluppato sette metodi indipendenti per identificare le installazioni di Keitaro TDS. Ciascun metodo si concentra su una diversa “impronta digitale” lasciata da Keitaro e, nel loro insieme, formano un quadro di rilevamento completo, ora disponibile come strumenti open source.
1. /click_api/v3 Endpoint
Endpoint API principale di Keitaro per l'elaborazione degli eventi di clic. Questo percorso è hardcoded nel software ed è presente in ogni installazione. Verificare la presenza di questo endpoint è il modo più rapido per confermare l'implementazione di Keitaro. Una risposta 200 o 302 a questo percorso costituisce un'identificazione positiva quasi certa.
2. _lp / _token / _subid Parametri URL
Keitaro aggiunge parametri di tracciamento specifici agli URL durante le catene di reindirizzamento. Il _lp il parametro identifica la pagina di destinazione, _token supporta l'autenticazione a sessione, e _subid traccia le fonti dei sub-affiliati. Questi parametri sono specifici di Keitaro e compaiono raramente nei sistemi legittimi di gestione del traffico.
3. Biscotti specifici per Keitaro
Keitaro imposta cookie specifici per tracciare le sessioni dei visitatori e mantenere lo stato di cloaking. Questi cookie seguono convenzioni di denominazione diverse da quelle delle piattaforme di analisi standard, il che li rende identificabili tramite l'ispezione del browser o l'analisi automatizzata dei cookie.
4. Modelli di intestazioni di risposta
Le risposte del server di Keitaro contengono modelli distintivi di intestazioni HTTP, tra cui specifiche direttive di controllo della cache, intestazioni personalizzate e stringhe di identificazione del server che differiscono da quelle dei server web standard. Queste intestazioni permangono anche quando gli operatori tentano di personalizzare le proprie installazioni.
5. Catene di reindirizzamento JavaScript
Keitaro implementa reindirizzamenti JavaScript a più fasi per valutare le impronte digitali dei visitatori prima di decidere se mostrare la pagina truffaldina o quella pulita. Queste catene di reindirizzamenti seguono schemi prevedibili — nomi di variabili specifici, sequenze temporali e logica di valutazione — che possono essere individuati tramite l'analisi statica e dinamica del codice JavaScript.
Mappa termica mondiale: 1.565 pannelli TDS Keitaro rilevati in tutto il mondo, 0 utilizzi legittimi individuati
6. Analisi dei modelli di dominio
Gli operatori di Keitaro tendono a registrare i domini seguendo convenzioni di denominazione e modelli di registrazione prevedibili. L'analisi di grandi quantità di domini rivela gruppi di domini con dati WHOIS, date di registrazione, configurazioni dei server dei nomi e provider di hosting simili, il che indica chiaramente che si tratta di implementazioni coordinate di Keitaro.
7. Identificazione tramite impronte digitali nel pannello di amministrazione
I pannelli di amministrazione di Keitaro sono accessibili tramite percorsi noti e restituiscono strutture HTML, nomi di classi CSS e file JavaScript distintivi. Anche quando gli amministratori modificano l'URL di accesso predefinito, il framework front-end del pannello lascia tracce identificabili che possono essere rilevate tramite l'enumerazione dei percorsi e il fingerprinting dei contenuti.
Difesa a più livelli
Nessun metodo di rilevamento è infallibile. Gli operatori più esperti potrebbero disattivare o modificare singole impronte digitali. Ecco perché la metodologia a 7 punti funziona come un sistema a più livelli: anche se un operatore elimina tre o quattro firme, i metodi rimanenti segnaleranno comunque l’implementazione. Nei nostri test, ogni pannello Keitaro è risultato rilevabile da almeno quattro dei sette metodi.
Mappa delle infrastrutture globali
I 1.565 pannelli Keitaro sono distribuiti su un'infrastruttura di hosting globale che privilegia fornitori di VPS a basso costo e giurisdizioni con tempi di risposta lenti in caso di abusi. Ecco dove si trovano i pannelli:
Regione
Fornitori di servizi di hosting
Note
Stati Uniti
DigitalOcean, Vultr
La più ampia concentrazione di server. L'hosting con sede negli Stati Uniti garantisce tempi di risposta rapidi per gli utenti nordamericani.
Paesi Bassi
Vari VPS
Molto utilizzato per le campagne rivolte al mercato europeo. Politiche di hosting flessibili.
Germania
Hetzner, vari
Importante centro nevralgico per operazioni di phishing e frodi nell’e-commerce rivolte all’Unione Europea.
Russia
Vari tipi di giubbotti antiproiettile
Base operativa per molti operatori. Provider di hosting che non applicano alcuna misura contro gli abusi.
Regno Unito
Varie soluzioni cloud
Utilizzato per attacchi mirati contro istituzioni finanziarie e servizi governativi del Regno Unito.
Hong Kong
Cluster Femo
Gruppo ben definito di siti web associati a truffe nel settore delle criptovalute rivolte al mercato asiatico. Il “Femo cluster” opera come un gruppo coordinato.
Il predominio degli Stati Uniti
Gli Stati Uniti ospitano la più grande concentrazione di pannelli Keitaro, principalmente su DigitalOcean e Vultr. Si tratta di provider cloud di largo consumo che gestiscono le segnalazioni di abusi, ma il volume delle implementazioni e la velocità con cui gli operatori creano nuove istanze fanno sì che i team preposti alla gestione degli abusi siano costantemente in ritardo.
Il cluster Femo
Un cluster ben definito di pannelli Keitaro che opera tramite infrastrutture con sede a Hong Kong, prendendo di mira i mercati asiatici con truffe legate alle criptovalute e frodi nel settore del gioco d’azzardo. Il “cluster Femo” mostra modelli di distribuzione coordinati che suggeriscono la presenza di un unico operatore o di un gruppo organizzato che gestisce contemporaneamente decine di pannelli.
Backend AWS
Indipendentemente da dove siano ospitati i pannelli front-end, l'archivio dati principale di Keitaro gira su Amazon Web Services (AWS). Ciò significa che le impronte digitali dei visitatori, i registri dei reindirizzamenti e i dati di targeting relativi a potenzialmente milioni di vittime di truffe sono archiviati sull’infrastruttura di Amazon. Con un periodo di conservazione dei dati che arriva fino a 9,75 anni, AWS ospita uno dei più grandi database di vittime di truffe esistenti.
Strumenti open source rilasciati
Parallelamente a questa indagine, PhishDestroy sta rilasciando un kit completo di strumenti di rilevamento open source. Ogni strumento è gratuito, non richiede chiavi API e può essere implementato immediatamente. È incluso il set di dati completo, composto da 1.565 pannelli.
Tutti gli strumenti, i dati e le prove sono pubblicati all'indirizzo phishdestroy.io/ScamIntelLogs/keitaro/. Il repository è pubblico e verrà aggiornato man mano che verranno individuati nuovi pannelli. Sono ben accetti i contributi della comunità e ulteriori metodi di rilevamento.
Individuare, segnalare, smantellare
Come abbiamo individuato i pannelli TDS di Keitaro — Metodologia di identificazione tramite impronta digitale Flusso di traffico Keitaro TDS — come i pannelli dannosi reindirizzano le vittime
Keitaro TDS è l'infrastruttura invisibile che alimenta le truffe. Ogni pannello segnalato, ogni rilevamento effettuato e ogni set di dati condiviso contribuisce a smantellare questo ecosistema. Utilizzate gli strumenti. Condividete i dati. Segnalate ciò che scoprite.
Avviso sulla trasparenza. PhishDestroy è un progetto indipendente e senza fini di lucro. La nostra ricerca potrebbe riflettere un pregiudizio intrinseco nei confronti delle infrastrutture utilizzate per le truffe e dei servizi che le rendono possibili. Invitiamo i lettori a valutare tutto il materiale in modo critico e autonomo. Leggi la nostra dichiarazione completa sulla trasparenza →