Киберпреступники системно эксплуатируют платформу Keitaro Tracker для целевых атак и обхода защиты

В фокусе исследования оказались не отдельные группы, а структурные паттерны, наблюдаемые при анализе тысяч инцидентов. За четырёхмесячный период было зафиксировано около 226 000 DNS-запросов к примерно 13 500 доменам, связанным с Keitaro, а также свыше 8 000 новых регистраций, приписанных злоумышленникам. Активность была сконцентрирована у пяти регистраторов: Dynadot, Namecheap, Public Domain Registry, Global Domain Group и Sav. Примечательно, что пики регистраций часто совпадали с промоакциями, такими как акция Dynadot в октябре 2025 года, предлагавшая неограниченную регистрацию доменов .com по $6.88, что позволило группе, таргетирующей русскоязычных пользователей фейковыми сообщениями о государственных выплатах, зарегистрировать сотни доменов единовременно.

Одним из наиболее показательных кейсов стала деятельность актора, перенаправлявшего трафик на онлайн-казино. Его инфраструктура на базе Keitaro TDS (Cистема распределения трафика) использовала сложные правила с условными перенаправлениями, основанными на геолокации IP-адреса и отпечатке устройства. Так, пользователи Android из Германии и владельцы ПК на Windows из США и Швейцарии направлялись на сайты азартных игр, в то время как остальной трафик перенаправлялся на сайт-приманку, имитирующий ресурс небольшой мобильной игровой компании, или на легитимные страницы Google. Этот пример иллюстрирует, как Keitaro позволяет не только масштабировать атаки, но и проводить высокодетализированное таргетирование аудитории.

Параллельно анализ спам-кампаний выявил более 120 отдельных операций, использующих Keitaro для доставки ссылок. Около 96% такого спама продвигало схемы по опустошению криптокошельков через фейковые раздачи (airdrop), сфокусированные на токенах AURA, SOL и брендах Phantom и Jupiter. Дополнительными темами были фишинг подписок (Spotify, Netflix), мошеннические предложения работы и "беспроцентные займы" для русскоязычной аудитории. В рамках исследования отчёта также проанализировано 275 миллионов рекламных показов, что позволило идентифицировать почти 2000 доменов с экземплярами Keitaro, задействованных в кампаниях вредоносной рекламы.

С технической точки зрения, злоумышленники используют возможности платформы для создания многоуровневой системы обхода защиты. Keitaro позволяет операторам создавать кампании с "потоками" (flows), которые направляют трафик по разным цепочкам в зависимости от фильтров: геолокации, типа устройства, браузера, реферера. Эта же функциональность активно применяется для клоакинга - техники сокрытия, когда боты систем аналитики или безопасности видят безобидную страницу, а целевые пользователи перенаправляются на вредоносный ресурс. Хотя прямые интеграции со специализированными сервисами клоакинга, такими как IMKLO, были удалены из последних версий Keitaro, угрозы обходят это ограничение, используя пользовательские PHP-фильтры или комбинируя встроенные антибот-списки с публично доступными базами подозрительных IP-адресов.

Особый интерес представляет анализ файлов cookie, устанавливаемых Keitaro, которые долгое время использовались сообществом безопасности для отслеживания и корреляции активности угроз. Исследование выявило явление "коллизий" cookie, когда один и тот же идентификатор, ранее считавшийся уникальной сигнатурой конкретного актора, использовался абсолютно не связанными между собой преступными группами. Например, cookie, ассоциировавшийся с известным брокером трафика TA2726, распространявшим вредоносное ПО SocGholish, также был обнаружен в операциях с криптомошенничеством и фиктивными сайтами знакомств. Взаимодействие с командой Trust and Safety Keitaro позволило установить, что часть таких коллизий связана с использованием взломанных (cracked) или украденных лицензий на версии ПО, которые активно распространяются на специализированных форумах.

Важным аспектом исследования стала оценка реакции Keitaro на сообщения о злоупотреблениях. Компания, по словам исследователей, проявила себя отзывчивой и проактивной. За время сотрудничества было отправлено более сотни отчётов о вредоносных доменах, что привело к блокировке более десятка учётных записей. Мониторинг показал, что лишь один из заблокированных акторов вернулся к использованию платформы в течение исследуемого периода. При этом отмечается, что наиболее опасные группы, такие как TA2726, по-видимому, используют нелегитимные копии софта, что усложняет борьбу с ними силами только одного провайдера.

Итоги исследования подчёркивают системную проблему: функционально богатые платформы, изначально созданные для легальных целей, становятся мощным оружием в руках злоумышленников благодаря своей гибкости и способности к автоматизации. Борьба со злоупотреблениями требует комплексного подхода, сочетающего реактивные меры, такие как работа с провайдерами, с проактивными методами защиты на уровне сетевой и endpoint-безопасности. История с Keitaro служит напоминанием, что в современной экосистеме киберпреступности угрозы активно адаптируются, используя легитимные инструменты и уязвимости бизнес-моделей, такие как агрессивные промоакции регистраторов, что требует повышенного внимания со стороны всех участников цифрового ландшафта.

IPv4

• 185.184.123.58
• 62.60.246.29

Domains

• apiexplorerzone.com
• blessedwirrow.org
• digdonger.org
• fetchapiutility.com
• hmedshop.shop
• juxysij.hkjhsuies.com.es
• rapiddevapi.com
• rednosehorse.com
• ryptosell.shop
• scyphoserippleepidosite.com
• subiz.tds11111.com
• sunpetalra.com
• swim39.ru
• tds11111.com
• tonamlchecks.com