Keitaro TDS (Traffic Distribution System) is commercial software sold by Apliteni OU (Estonia) that allows users to cloak malicious content from security researchers and ad reviewers. It redirects legitimate visitors to scam pages while showing clean content to analysts.

Is Keitaro used for legitimate purposes?

PhishDestroy's investigation scanned 50,000+ sites and analyzed 1,565 Keitaro admin panels. Zero legitimate use cases were found. Every panel was connected to crypto scams, phishing, malware, or fraud.

How can I detect Keitaro TDS?

Look for /click_api/v3 endpoints, _lp/_token/_subid URL parameters, and Keitaro-specific cookies. PhishDestroy has released free open-source tools including checker.html, keitaro_hunter_4.py, and a Cloudflare Worker.

Вернуться к новостям

Расследование ScamIntelLogs + выпуск инструмента

Keitaro TDS: обнаружено 1 500 панелей, но не выявлено ни одного законного случая использования

Механизм маскировки, стоящий за каждым мошенничеством, о котором вы даже не подозревали. PhishDestroy просканировал более 50 000 сайтов, обнаружил 1 565 админ-панелей Keitaro TDS и не нашел ни одного легитимного случая использования. Каждая из этих панелей была связана с криптовалютным мошенничеством, фишингом, распространением вредоносного ПО или чем-то еще хуже. Среди клиентов — EvilCorp, вымогательское ПО LockBit и VexTrio. Теперь доступны набор инструментов для обнаружения с открытым исходным кодом, 7-ступенчатая методология и полный CSV-файл с панелями.

~10 минут чтения· Обновлено Март 2026 года· PhishDestroy Intelligence

Найдены 1 565 панелей Доля вредоносных файлов — 100 % 7 методов обнаружения Выпущено 4 инструмента

Обнаружены панели администратора

Более 50 000

Просканированные сайты

Допустимые виды использования

Методы обнаружения

Что такое Keitaro TDS?

Keitaro TDS — это коммерческая система распределения трафика, продаваемая компанией Постарайся, компания, зарегистрированная в Эстония. На первый взгляд, это позиционируется как инструмент управления трафиком для партнеров по аффилиат-маркетингу. На деле же это самый распространенный механизм маскировки в глобальной экосистеме мошенничества.

Клоакинг — это метод, позволяющий показывать разным посетителям разный контент. Когда специалист по безопасности, эксперт по рекламе или сотрудник правоохранительных органов заходит на какой-либо URL-адрес, система Keitaro распознает его и выдает чистую, безобидную страницу. Когда же на тот же URL-адрес заходит реальная жертва, она перенаправляется на криптовалютные мошеннические сайты, фишинговые страницы, страницы для скачивания вредоносного ПО или мошеннические сайты электронной коммерции. Жертва никогда не видит «чистую» версию страницы. Аналитик никогда не видит мошенничества.

Цены у Кейтаро варьируются от от 40 до 400 евро в месяц, позиционируя её как инфраструктуру для борьбы с мошенничеством корпоративного уровня. Она хранит данные о посетителях в течение 9,75 лет, предоставляя операторам обширный массив данных, включающий отпечатки пальцев жертв, географические данные и поведенческие профили. Все эти данные хранятся на Инфраструктура AWS, то есть Amazon, сам того не подозревая, обеспечивает техническую поддержку тысяч мошеннических операций.

Подставная компания

Постарайся Компания ведет свою деятельность из Эстонии, используя преимущества программы «э-резидентства» этой страны и благоприятного законодательства в сфере конфиденциальности корпоративных данных. Компания поддерживает видимость легитимности за счет профессионального маркетинга, документации и службы поддержки клиентов — при этом каждое зафиксированное внедрение их продукта связано с преступной деятельностью. Они взимают плату в размере 40–400 евро в месяц за то, что по сути является платформой «мошенничество как услуга», обеспечивающей хранение данных на протяжении почти десяти лет.

Цифры: 1 565 панелей, ни одной подлинной

Исследование PhishDestroy началось с простой гипотезы: если у Keitaro TDS есть законные области применения, мы должны обнаружить их в широком масштабе. Мы провели сканирование Более 50 000 сайтов используя сочетание автоматизированных инструментов и ручной проверки, уделяя особое внимание поиску следов Keitaro TDS. Наши выводы были однозначными.

1 565 активных панелей администратора Keitaro были обнаружены. Мы проанализировали каждый из них. Результат: ни одного легитимного развертывания. Ни одна из панелей не использовалась для легального партнерского маркетинга, A/B-тестирования или каких-либо других законных целей. Каждая панель — 100 % — была связана с преступной деятельностью.

1,565

Активные панели

100 %

Доля вредоносных сообщений

50 000+

Просканированные сайты

Девять с половиной лет

Максимальный срок хранения данных

Распределение по категориям нарушений

1 565 панелей были распределены по шести основным категориям злоупотреблений. Многие панели обслуживали сразу несколько категорий, используя механизм маршрутизации трафика Keitaro для направления жертв к различным типам мошенничества в зависимости от географического положения, типа устройства или времени суток.

Категория «Злоупотребление»	Описание
Криптовалютные мошенничества	Поддельные инвестиционные платформы, мошенники, выманивающие деньги из кошельков, и целевые страницы, предназначенные для обмана пользователей
Фишинг	Сбор учетных данных для банков, почтовых сервисов и социальных сетей
Распространение вредоносных программ	Доставка загрузчика, подготовка к запуску программы-вымогателя, автоматическая загрузка
Мошенничество в сфере электронной коммерции	Поддельные магазины, контрафактная продукция, скимминг платежных карт
Мошенничество на сайтах знакомств	Мошенничество с целью склонения к романтическим отношениям, целевые страницы для сексуального шантажа, фальшивые профили
Мошенничество в сфере азартных игр	Нелицензированные казино, подтасованные букмекерские платформы, кража депозитов

Методологическая справка

Перед классификацией каждая панель проверялась с помощью как минимум двух независимых методов обнаружения. Ложные срабатывания проверялись вручную и исключались. Цифра в 1 565 отражает только подтвержденные действующие установки Keitaro — реальное количество развертываний, включая те, что находятся за дополнительными уровнями защиты, безусловно, выше.

Перечень клиентов по уголовным делам

Keitaro TDS используют не только мелкие мошенники. Эта система маскировки стала предпочтительной инфраструктурой для некоторых из самых опасных киберпреступных организаций в мире. Вот список подтвержденных клиентов:

EvilCorp

Российская преступная группировка, в отношении которой введены санкции, использует Keitaro для обхода международных санкций. Маскируя свою деятельность под трафиком Keitaro, EvilCorp уклоняется от мер безопасности, призванных пресечь их деятельность. Каждый клик, проходящий через Keitaro, является нарушением санкций, которое становится возможным благодаря программному обеспечению компании Apliteni OU.

Вирус-вымогатель LockBit

Группа разработчиков вымогательского ПО LockBit использовала Keitaro для распространения вредоносных программ, задействовав его возможности маскировки, чтобы гарантировать, что полезные нагрузки с вымогательским ПО попадали только к реальным целям, в то время как в песочницах систем безопасности и у исследователей отображался безобидный контент. Keitaro стал фактором, значительно усиливающим эффективность одной из самых разрушительных операций с использованием вымогательского ПО в истории.

VexTrio

Крупнейший из известных клиентов Keitaro. Компания VexTrio работает с Более 60 партнёров и элементы управления 86 832+ доменов, при этом весь трафик проходит через механизм распространения Keitaro. Эта единственная операция обеспечивает значительную долю вредоносного рекламного трафика в Интернете, а Keitaro — это та основа, которая позволяет ей оставаться незаметной.

ClearFake

ClearFake встраивает на взломанные сайты поддельные запросы на обновление браузера, запуская вредоносное ПО, когда пользователи нажимают кнопку «Обновить». Технология маскировки Keitaro гарантирует, что вредоносную накладку видят только реальные посетители, а сканеры безопасности — исходный, «чистый» сайт. Результат: доставка вредоносного ПО с практически нулевым уровнем обнаружения.

FakeBat

FakeBat — это загрузчик вредоносного ПО, распространяемый посредством вредоносных рекламных кампаний. Keitaro направляет рекламный трафик через механизм принятия решений: средства защиты перенаправляются на страницы загрузки легального ПО, в то время как реальным пользователям предлагаются троянские установщики. Keitaro делает вредоносные рекламные кампании FakeBat практически незаметными для служб безопасности рекламных платформ.

Двойник

Российская дезинформационная кампания, связанная с государством, которая использует Keitaro для распространения пропаганды в западных социальных сетях. Благодаря географической и устройственной идентификации Keitaro модераторы контента и специалисты по проверке фактов видят иной контент, чем целевая аудитория. Информационная война, осуществляемая с помощью коммерческого эстонского программного обеспечения.

«Мы обнаружили следы деятельности Keitaro во всех крупных киберпреступных операциях, которые мы расследовали за последние 18 месяцев. Это не совпадение — это отраслевой стандарт для преступников».

— Исследовательская группа PhishDestroy

7-ступенчатая методология обнаружения

В ходе данного расследования компания PhishDestroy разработала семь независимых методов выявления случаев развертывания Keitaro TDS. Каждый из этих методов нацелен на отдельный «отпечаток», оставляемый Keitaro, и в совокупности они образуют комплексную систему обнаружения, которая теперь доступна в виде инструментария с открытым исходным кодом.

1. /click_api/v3 Конечная точка

Основной конечный пункт API Keitaro для обработки событий клика. Этот путь жестко запрограммирован в программном обеспечении и присутствует в каждой установке. Проверка наличия этого конечного пункта — самый быстрый способ подтвердить наличие Keitaro. Ответ 200 или 302 по этому пути практически гарантированно свидетельствует о наличии Keitaro.

2. _lp / _token / _subid Параметры URL

Keitaro добавляет к URL-адресам специальные параметры отслеживания во время цепочек перенаправлений. _lp параметр определяет целевую страницу, _token обеспечивает аутентификацию на уровне сеанса, а также _subid отслеживает источники субпартнеров. Эти параметры являются уникальными для Keitaro и редко встречаются в легитимных системах управления трафиком.

3. Печенье, посвященное Кэйтаро

Keitaro устанавливает специальные файлы cookie для отслеживания сеансов посетителей и поддержания состояния маскировки. Эти файлы cookie имеют имена, не соответствующие стандартным конвенциям, принятым на аналитических платформах, что позволяет их идентифицировать при проверке в браузере или с помощью автоматического анализа файлов cookie.

4. Шаблоны заголовков ответов

Ответы сервера Keitaro содержат характерные шаблоны HTTP-заголовков, в том числе определенные директивы cache-control, пользовательские заголовки и строки идентификации сервера, которые отличаются от стандартных веб-серверов. Эти заголовки сохраняются даже в тех случаях, когда операторы пытаются настроить свои установки.

5. Цепочки перенаправлений в JavaScript

Keitaro использует многоступенчатые перенаправления JavaScript для анализа «отпечатков» посетителей, прежде чем принять решение о том, показывать ли мошенническую страницу или безопасную. Эти цепочки перенаправлений следуют предсказуемым шаблонам — с использованием определённых имён переменных, последовательностей действий и логики оценки — которые можно выявить с помощью статического и динамического анализа JavaScript.

World heat map: 1,565 Keitaro TDS panels detected across the globe, 0 legitimate uses found — Карта распространения по миру: по всему миру обнаружено 1 565 панелей Keitaro TDS, легальных случаев использования не выявлено

6. Анализ шаблонов доменов

Операторы Keitaro, как правило, регистрируют домены в соответствии с предсказуемыми правилами именования и схемами регистрации. Анализ больших массивов доменов выявляет группы доменов со схожими данными WHOIS, датами регистрации, настройками серверов имен и хостинг-провайдерами — все это указывает на скоординированные развертывания Keitaro.

7. Идентификация панели администратора

Доступ к панелям администрирования Keitaro осуществляется по известным адресам, при этом они возвращают характерные HTML-структуры, имена классов CSS и файлы JavaScript. Даже если администраторы изменяют URL-адрес входа по умолчанию, интерфейсная часть панели оставляет идентифицируемые следы, которые можно обнаружить с помощью перебора адресов и анализа отпечатков контента.

Многоуровневая защита

Ни один метод обнаружения не является абсолютно надежным. Опытные злоумышленники могут отключить или изменить отдельные «отпечатки пальцев». Именно поэтому 7-ступенчатая методология представляет собой многоуровневую систему: даже если злоумышленнику удастся устранить три или четыре «подписи», остальные методы все равно выявят установку. В ходе наших испытаний каждая панель Keitaro была обнаружена как минимум четырьмя из семи методов.

Карта глобальной инфраструктуры

1 565 панелей Keitaro размещены в глобальной хостинговой инфраструктуре, в которой предпочтение отдается недорогим провайдерам VPS и юрисдикциям с длительным сроком реагирования на сообщения о злоупотреблениях. Вот где находятся эти панели:

Регион	Провайдеры хостинга	Примечания
Соединенные Штаты	DigitalOcean, Vultr	Наибольшая концентрация серверов. Хостинг в США обеспечивает быстрое время отклика для пользователей из Северной Америки.
Нидерланды	Различные VPS	Популярно для рекламных кампаний, ориентированных на европейский рынок. Либеральная политика хостинга.
Германия	Hetzner, различные	Крупный центр операций по фишингу и мошенничеству в сфере электронной коммерции, направленных на страны ЕС.
Россия	Различные пуленепробиваемые	База для многих операторов. Хостинг-провайдеры, не принимающие мер по борьбе со злоупотреблениями.
Великобритания	Различные облачные сервисы	Используется для атак на финансовые учреждения и государственные службы Великобритании.
Гонконг	Кластер Femo	Отдельная группа сайтов, связанных с криптовалютными мошенничествами, нацеленными на азиатских пользователей. «Кластер Femo» действует как скоординированная группа.

Доминирование США

В США сосредоточено наибольшее количество панелей Keitaro, в основном на платформах DigitalOcean и Vultr. Это крупные облачные провайдеры, которые обрабатывают сообщения о злоупотреблениях, однако из-за огромного количества развернутых инстансов и высокой скорости, с которой операторы запускают новые инстансы, специалисты по борьбе со злоупотреблениями постоянно вынуждены бежать за событиями.

Кластер Femo

Отдельный кластер панелей Keitaro, работающий на базе инфраструктуры в Гонконге и нацеленный на азиатские рынки с целью проведения криптовалютных мошенничеств и мошенничества в сфере азартных игр. «Кластер Femo» демонстрирует скоординированные схемы развертывания, что позволяет предположить наличие единого оператора или организованной группы, одновременно управляющей десятками панелей.

Бэкэнд AWS

Независимо от того, где размещены интерфейсные панели, основное хранилище данных Keitaro работает на Amazon Web Services (AWS). Это означает, что на инфраструктуре Amazon хранятся идентификационные данные посетителей, журналы перенаправлений и данные о таргетинге, касающиеся, возможно, миллионов жертв мошенничества. Учитывая срок хранения данных до 9,75 лет, AWS является хранилищем одной из крупнейших существующих баз данных о жертвах мошенничества.

Выпущены инструменты с открытым исходным кодом

Наряду с этим исследованием PhishDestroy выпускает полный набор инструментов для обнаружения с открытым исходным кодом. Все инструменты бесплатны, не требуют API-ключей и готовы к немедленному использованию. В комплект входит полный набор данных, включающий 1 565 панелей.

checker.html

Веб-сервис для проверки панелей Keitaro. Откройте страницу в любом браузере, введите URL-адрес и получите мгновенные результаты проверки. Установка не требуется. Использует 7-балльную методику проверки на стороне клиента.

Keitaro Hunter 4.py

Сканер на Python для массового обнаружения Keitaro. Достаточно предоставить ему список доменов, и он запустит все 7 методов обнаружения, выведя на экран подтвержденные панели с показателями достоверности. Предназначен для специалистов по безопасности и исследователей.

worker.js

Cloudflare Worker для обнаружения Keitaro в режиме реального времени. Разверните его в своей учетной записи Cloudflare, и он будет перехватывать запросы в режиме реального времени, выявляя трафик, замаскированный с помощью Keitaro, до того, как он достигнет пользователей. Защита с нулевой задержкой на периферии.

panels.csv

Полный набор данных по всем 1 565 подтвержденным панелям администратора Keitaro. Включает IP-адреса, имена хостов, задействованные методы обнаружения, хостинг-провайдеров и географические данные. Регулярно обновляется.

Полный архив доказательств

Все инструменты, данные и доказательства опубликованы на сайте phishdestroy.github.io/ScamIntelLogs/keitaro/. Репозиторий является общедоступным и будет пополняться по мере обнаружения новых панелей. Приветствуются вклады со стороны сообщества и предложения по дополнительным методам обнаружения.

Выявлять, сообщать, ликвидировать

How we detected Keitaro TDS panels — fingerprinting methodology — Как мы обнаружили панели Keitaro TDS — методология идентификации по отпечаткам

Keitaro TDS traffic flow — how malicious panels redirect victims — Трафик Keitaro TDS — как вредоносные панели перенаправляют пользователей

Keitaro TDS — это невидимая инфраструктура, которая поддерживает мошеннические схемы. Каждый обнаруженный вами случай, каждое сообщение о мошенничестве и каждый набор данных, которым вы делитесь, помогают разрушить эту экосистему. Используйте инструменты. Делитесь данными. Сообщайте о том, что вы обнаружили.

Получите инструменты Сообщить о панели Все инструменты PhishDestroy

#KeitaroTDS #TrafficDistribution #Malvertising #ScamInfra #Investigation