Механизм маскировки, стоящий за каждым мошенничеством, которое вы никогда не замечали. PhishDestroy просканировал более 50 000 сайтов, обнаружил 1 565 административных панелей Keitaro TDS и не нашел ни одного легитимного случая использования. Каждая из этих панелей была связана с криптовалютным мошенничеством, фишингом, распространением вредоносного ПО или чем-то ещё хуже. Среди клиентов — EvilCorp, программа-вымогатель LockBit и VexTrio. Теперь доступны набор инструментов для обнаружения с открытым исходным кодом, 7-ступенчатая методология и полный CSV-файл с данными о панелях.
~10 минут чтения· Обновлено Март 2026 года· PhishDestroy Intelligence
Keitaro TDS — это коммерческая система распределения трафика, продаваемая компанией «Аплитени» ОУ, компания, зарегистрированная в Эстония. На первый взгляд, он позиционируется как инструмент управления трафиком для партнеров по аффилиатскому маркетингу. На деле же это самый широко используемый механизм маскировки в глобальной экосистеме мошенничества.
«Клоакинг» — это искусство показывать разным посетителям разный контент. Когда исследователь в области безопасности, специалист по проверке рекламы или сотрудник правоохранительных органов заходит на URL-адрес, Keitaro распознает их и выдает чистую, «безобидную» страницу. Когда же настоящая жертва заходит на тот же URL, она перенаправляется на криптовалютные мошеннические сайты, фишинговые страницы, страницы для загрузки вредоносного ПО или мошеннические сайты электронной коммерции. Жертва никогда не видит «чистую» версию страницы. Аналитик никогда не видит мошенничества.
Цены у Кейтаро варьируются от От 40 до 400 евро в месяц, позиционируя её как инфраструктуру для борьбы с мошенничеством корпоративного уровня. Она хранит данные о посетителях в течение периода до 9,75 лет, предоставляя операторам обширный набор данных, включающий отпечатки пальцев жертв, географические данные и поведенческие профили. Все эти данные хранятся на Инфраструктура AWS, а это означает, что Amazon, сама того не подозревая, обеспечивает серверную инфраструктуру для тысяч мошеннических операций.
Подставная компания
«Аплитени» ОУ работает из Эстонии, используя преимущества программы «э-резиденства» этой страны и благоприятного законодательства в области корпоративной конфиденциальности. Компания поддерживает видимость легитимности за счет профессионального маркетинга, документации и службы поддержки клиентов — при этом каждое зафиксированное внедрение их продукта связано с преступной деятельностью. Они взимают плату в размере 40–400 евро в месяц за то, что по сути является платформой «мошенничество как услуга» с хранением данных на протяжении почти десяти лет.
Цифры: 1 565 панелей, ни одной законной
Исследование PhishDestroy началось с простой гипотезы: если у Keitaro TDS есть законные области применения, мы должны обнаружить их в широком масштабе. Мы провели сканирование Более 50 000 сайтов используя сочетание автоматизированных инструментов и ручной проверки, уделяя особое внимание поиску «отпечатков» Keitaro TDS. Наши выводы были однозначными.
1 565 активных панелей администратора Keitaro были обнаружены. Мы проанализировали каждый из них. Результат: нулевое количество легитимных развертываний. Ни одна из панелей не использовалась для законного партнерского маркетинга, A/B-тестирования или каких-либо других безобидных целей. Каждая панель — 100 % — была связана с преступной деятельностью.
1,565
Активные панели
100%
Доля вредоносных сообщений
50K+
Просканированные сайты
9,75 лет
Максимальный срок хранения данных
Разбивка по категориям злоупотреблений
1 565 панелей были распределены по шести основным категориям злоупотреблений. Многие панели обслуживали сразу несколько категорий, используя систему маршрутизации трафика Keitaro для направления жертв к различным типам мошенничества в зависимости от географического положения, типа устройства или времени суток.
Категория злоупотреблений
Описание
Криптовалютные мошенничества
Поддельные инвестиционные платформы, программы для опустошения кошельков, мошеннические страницы для pig butchering
Фишинг
Сбор учетных данных для банков, почтовых сервисов и социальных сетей
Распространение вредоносного ПО
Доставка загрузчика, подготовка к запуску программы-вымогателя, «drive-by»-загрузки
Мошенничество с целью завоевания доверия, целевые страницы для сексуального шантажа, фальшивые профили
Мошенничество в сфере азартных игр
Нелицензированные казино, подтасованные платформы для ставок, кража депозитов
Примечание по методологии
Каждая панель перед классификацией проверялась с помощью как минимум двух независимых методов обнаружения. Ложные срабатывания проверялись вручную и исключались. Цифра 1 565 отражает только подтвержденные активные установки Keitaro — реальное количество развертываний, включая те, что находятся за дополнительными уровнями защиты, безусловно, выше.
Перечень клиентов по уголовным делам
Система Keitaro TDS используется не только мелкими мошенниками. Это предпочтительная инфраструктура для маскировки, которой пользуются некоторые из самых опасных киберпреступных организаций в мире. Вот список подтвержденных клиентов:
EvilCorp
Российский киберпреступный синдикат, в отношении которого введены санкции, использует Keitaro для обхода международных санкций. Маскируя свою деятельность под трафиком, проходящим через Keitaro, компания EvilCorp обходит те самые меры безопасности, которые призваны положить конец её деятельности. Каждый клик, проходящий через Keitaro, является нарушением санкций, которое становится возможным благодаря программному обеспечению компании Apliteni OU.
Программа-вымогатель LockBit
Группа разработчиков программы-вымогателя LockBit использовала Keitaro для распространения вредоносного ПО, прибегая к его возможностям маскировки, чтобы гарантировать, что полезные нагрузки программы-вымогателя попадали только к реальным целям, в то время как в песочницах систем безопасности и исследователям отображался безобидный контент. Keitaro стал фактором, значительно усиливающим эффективность одной из самых разрушительных операций с использованием программ-вымогателей в истории.
VexTrio
Крупнейший из известных клиентов Keitaro. Компания VexTrio работает с Более 60 партнёров и элементы управления 86 832+ доменов, причём весь трафик проходит через механизм распространения Keitaro. Эта единственная операция обеспечивает значительную долю вредоносного рекламного трафика в Интернете, а Keitaro является той опорой, которая позволяет ей оставаться незаметной.
ClearFake
ClearFake встраивает на взломанные сайты поддельные запросы на обновление браузера, распространяя вредоносное ПО, когда жертвы нажимают кнопку «Обновить». Технология маскировки Keitaro гарантирует, что вредоносный оверлей видят только реальные посетители, а сканеры безопасности — исходный, «чистый» сайт. Результат: распространение вредоносного ПО с практически нулевым уровнем обнаружения.
FakeBat
FakeBat — это загрузчик вредоносного ПО, распространяемый посредством вредоносных рекламных кампаний. Keitaro направляет рекламный трафик через механизм принятия решений: пользователи, использующие средства защиты, перенаправляются на страницы загрузки легального программного обеспечения, в то время как реальным пользователям предлагаются троянские установщики. Keitaro делает вредоносные рекламные кампании FakeBat практически незаметными для служб безопасности рекламных платформ.
Двойник
Российская дезинформационная кампания, связанная с государством, в рамках которой используется программа «Кейтаро» для распространения пропаганды в западных социальных сетях. Благодаря географической и устройственной идентификации «Кейтаро» модераторы контента и специалисты по проверке фактов видят иной контент, чем целевая аудитория. Информационная война, осуществляемая с помощью коммерческого эстонского программного обеспечения.
«Мы обнаружили следы деятельности Keitaro во всех крупных киберпреступных операциях, которые мы расследовали за последние 18 месяцев. Это не совпадение — это отраслевой стандарт для преступников».
— Исследовательская группа PhishDestroy
7-ступенчатая методология обнаружения
В ходе данного расследования компания PhishDestroy разработала семь независимых методов выявления случаев развертывания Keitaro TDS. Каждый из этих методов нацелен на отдельный «отпечаток», который оставляет Keitaro, и в совокупности они образуют комплексную систему обнаружения, которая теперь доступна в виде инструментария с открытым исходным кодом.
1. /click_api/v3 Конечная точка
Основной конечный пункт API Keitaro для обработки событий кликов. Этот путь жестко запрограммирован в программном обеспечении и присутствует в каждой установке. Проверка наличия этого конечного пункта — самый быстрый способ подтвердить наличие Keitaro в системе. Ответ с кодом 200 или 302 по этому пути практически наверняка свидетельствует о наличии Keitaro.
2. _lp / _token / _subid Параметры URL
Keitaro добавляет к URL-адресам специальные параметры отслеживания во время цепочек перенаправлений. _lp параметр определяет целевую страницу, _token обеспечивает аутентификацию на уровне сеанса, и _subid отслеживает источники субпартнеров. Эти параметры являются уникальными для Keitaro и редко встречаются в легитимных системах управления трафиком.
3. Печенье, посвящённое Кэйтаро
Keitaro устанавливает специальные файлы cookie для отслеживания сеансов посетителей и поддержания состояния маскировки. Эти файлы cookie имеют имена, не соответствующие стандартным конвенциям, принятым на аналитических платформах, что позволяет их идентифицировать с помощью инструментов просмотра браузера или автоматического анализа файлов cookie.
4. Шаблоны заголовков ответов
Ответы сервера Кейтаро содержат характерные шаблоны HTTP-заголовков, в том числе определённые директивы `Cache-Control`, пользовательские заголовки и строки идентификации сервера, которые отличаются от стандартных веб-серверов. Эти заголовки сохраняются даже в тех случаях, когда операторы пытаются настроить свои установки.
5. Цепочки перенаправлений в JavaScript
Keitaro использует многоступенчатые перенаправления в JavaScript для анализа «отпечатков» посетителей, прежде чем принять решение о том, показывать ли мошенническую страницу или безопасную. Эти цепочки перенаправлений следуют предсказуемым шаблонам — с использованием определённых имён переменных, последовательностей действий и логики оценки — которые можно выявить с помощью статического и динамического анализа JavaScript.
Глобальная тепловая карта: по всему миру обнаружено 1 565 панелей Keitaro TDS, законных случаев использования не выявлено
6. Анализ шаблонов доменов
Операторы Keitaro, как правило, регистрируют домены в соответствии с предсказуемыми конвенциями именования и схемами регистрации. Анализ больших массивов доменов выявляет кластеры доменов с похожими данными WHOIS, датами регистрации, настройками серверов имен и хостинг-провайдерами — все это указывает на скоординированные развертывания Keitaro.
7. Идентификация по отпечаткам пальцев в панели администратора
Доступ к панелям администрирования Keitaro осуществляется по известным адресам, при этом они возвращают характерные HTML-структуры, имена классов CSS и файлы JavaScript. Даже если администраторы изменяют URL-адрес входа по умолчанию, интерфейсная часть панели оставляет идентифицируемые следы, которые можно обнаружить с помощью перебора адресов и анализа отпечатков контента.
Многоуровневая защита
Ни один метод обнаружения не является абсолютно надежным. Опытные злоумышленники могут отключить или изменить отдельные «отпечатки». Именно поэтому 7-ступенчатая методология работает как многоуровневая система — даже если злоумышленник устранит три или четыре «сигнатуры», оставшиеся методы все равно выявят установку. В ходе наших испытаний каждая панель Keitaro была обнаружена как минимум четырьмя из семи методов.
Карта глобальной инфраструктуры
1 565 панелей Keitaro распределены по глобальной хостинговой инфраструктуре, в которой предпочтение отдается недорогим провайдерам VPS и юрисдикциям с длительным временем реагирования на сообщения о злоупотреблениях. Вот где расположены эти панели:
Регион
Провайдеры хостинга
Примечания
Соединенные Штаты
DigitalOcean, Vultr
Наибольшая концентрация серверов. Хостинг, расположенный в США, обеспечивает быстрое время отклика для пользователей из Северной Америки.
Нидерланды
Различные VPS
Популярно для рекламных кампаний, ориентированных на европейский рынок. Либеральная политика хостинга.
Германия
Hetzner, различные
Крупный центр операций по фишингу и мошенничеству в сфере электронной коммерции, направленных на страны ЕС.
Россия
Различные виды бронезащиты
База для многих операторов. Хостинг-провайдеры, не принимающие мер по борьбе со злоупотреблениями.
Великобритания
Различные облака
Используется для атак на финансовые учреждения и государственные службы Великобритании.
Гонконг
Кластер «Фемо»
Отдельный кластер сайтов, связанных с криптовалютными мошенничествами, направленными на азиатскую аудиторию. «Кластер Femo» действует как скоординированная группа.
Доминирование США
В Соединенных Штатах сосредоточено наибольшее количество панелей Keitaro, в основном на платформах DigitalOcean и Vultr. Это крупные облачные провайдеры, которые обрабатывают сообщения о злоупотреблениях, однако из-за огромного количества развертываний и высокой скорости, с которой операторы запускают новые инстансы, команды по борьбе со злоупотреблениями постоянно вынуждены бежать за событиями.
Кластер «Фемо»
Отдельный кластер панелей Keitaro, работающий на базе инфраструктуры в Гонконге и нацеленный на азиатские рынки с целью проведения криптовалютных мошенничеств и мошенничества в сфере азартных игр. «Кластер Femo» демонстрирует скоординированные схемы развертывания, что указывает на наличие единого оператора или организованной группы, одновременно управляющей десятками панелей.
Бэкенд AWS
Независимо от того, где размещены интерфейсные панели, основное хранилище данных Keitaro работает на Amazon Web Services (AWS). Это означает, что на инфраструктуре Amazon хранятся идентификационные данные посетителей, журналы перенаправлений и данные о таргетировании, касающиеся, возможно, миллионов жертв мошенничества. Учитывая срок хранения данных до 9,75 лет, AWS является хостинг-провайдером одной из крупнейших существующих баз данных жертв мошенничества.
Выпущены инструменты с открытым исходным кодом
Параллельно с этим исследованием PhishDestroy выпускает полный набор инструментов для обнаружения с открытым исходным кодом. Все инструменты бесплатны, не требуют API-ключей и готовы к немедленному использованию. В комплект входит полный набор данных, включающий 1 565 панелей.
Все инструменты, данные и доказательства опубликованы по адресу phishdestroy.io/ScamIntelLogs/keitaro/. Репозиторий является общедоступным и будет пополняться по мере обнаружения новых панелей. Приветствуются вклады со стороны сообщества и предложения по дополнительным методам обнаружения.
Выявление, сообщение, ликвидация
Как мы обнаружили панели Keitaro TDS — методология идентификации по «отпечаткам» Трафик Keitaro TDS — как вредоносные панели перенаправляют жертв
Keitaro TDS — это невидимая инфраструктура, которая поддерживает деятельность мошенников. Каждая панель, о которой вы сообщаете, каждое обнаружение, которое вы делаете, и каждый набор данных, которым вы делитесь, помогают разрушить эту экосистему. Используйте инструменты. Делитесь данными. Сообщайте о том, что обнаруживаете.
Уведомление о прозрачности. PhishDestroy — это некоммерческий независимый проект. Наши исследования могут отражать некоторую предвзятость в отношении мошеннической инфраструктуры и сервисов, способствующих её функционированию. Мы призываем читателей критически и независимо оценивать все материалы. Ознакомьтесь с полным текстом нашего заявления о прозрачности →