🔍 Contexte

PubliĂ© le 26 mars 2026 par Infoblox Threat Intel en collaboration avec Confiant, cet article constitue le second volet d’une Ă©tude de quatre mois portant sur l’abus du tracker publicitaire commercial Keitaro par des acteurs malveillants. Confiant surveille prĂšs de 90 milliards d’impressions publicitaires par mois.

🎯 Keitaro comme infrastructure criminelle

Keitaro est un outil adtech commercial (tracker, TDS et cloaker en un seul produit) massivement dĂ©tournĂ© par des cybercriminels. Il leur permet d’externaliser la distribution, le ciblage et le routage des victimes sans construire leur propre infrastructure. Plus de 20% des acteurs malveillants suivis par Confiant ont utilisĂ© Keitaro sur la pĂ©riode, certains gĂ©nĂ©rant des dizaines de millions d’impressions.

Les instances Keitaro observĂ©es sont majoritairement opĂ©rĂ©es par des acteurs liĂ©s Ă  l’Europe de l’Est, souvent protĂ©gĂ©es par Cloudflare ou hĂ©bergĂ©es chez des bulletproof providers.

📊 Menaces observĂ©es

  • Malware : loaders, infostealers, outils d’administration Ă  distance weaponisĂ©s
  • Draineurs de wallets crypto : 96% des campagnes spam liĂ©es Ă  Keitaro menaient Ă  des draineurs de wallets
  • Phishing/eCrime : funnels email → Keitaro → kits de phishing ou arnaques Ă  l’emploi
  • Scams d’investissement et fausses arrestations comme leurres clickbait
  • Campagnes de rĂ©compenses frauduleuses ciblant les BrĂ©siliens (vol de CPF, Pix Key, CNH)
  • Geo-gates pour sites de jeux d’argent
  • Hijacking de domaines via la vulnĂ©rabilitĂ© DNS Sitting Ducks
  • Spam : ~25 acteurs, ~120 campagnes, dizaines de milliers d’emails sur 4 mois

đŸ› ïž Infrastructure technique notable : AS214351

L’utilisation de JA4+ fingerprinting a permis d’identifier plus de 100 adresses IP associĂ©es Ă  la distribution de malwares. Un sous-ensemble notable est gĂ©rĂ© par FEMO IT SOLUTIONS LIMITED (AS214351), hĂ©bergeur bulletproof enregistrĂ© au RIPE NCC le 15 aoĂ»t 2024, dont l’upstream est aurologic GmbH.

Sur l’IP 62.60.226.248 :

  • Novembre-dĂ©cembre 2025 : hĂ©bergement de DonutLoader (SHA256: b98b53ca03e3e9009b31bcc37b90b206064b25effce449dde63c51cef6a47470) injectant StealC v2 dans Chrome et Edge
  • ÉtĂ© 2025 : hĂ©bergement d’un client ScreenConnect personnalisĂ© (via object.brovanti.com), suivi du dĂ©ploiement de RustyStealer

Le C2 de StealC v2 communique avec 62.60.178.163/ce369e7324834845.php.

đŸ‡§đŸ‡· Campagne TilapiaParabens

Campagne de phishing ciblant les audiences brésiliennes via des publicités vidéo courtes (style TikTok), active depuis mars 2025. Objectif : vol de CPF, Pix Key, CNH. Utilise des kits de cloaking locaux (The White Rabbit, Cloakilio) ainsi que Keitaro. Forte rotation de domaines quotidienne.

📰 Nature de l’article

Il s’agit d’une publication de recherche issue d’une collaboration entre deux Ă©quipes de threat intelligence, visant Ă  documenter l’Ă©cosystĂšme d’abus de Keitaro avec des donnĂ©es quantitatives, des IOCs techniques et des exemples de campagnes reprĂ©sentatifs.

🧠 TTPs et IOCs dĂ©tectĂ©s

Acteurs de menace

  • TilapiaParabens (cybercriminal)

TTP

  • T1566 — Phishing (Initial Access)
  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1204.001 — User Execution: Malicious Link (Execution)
  • T1055 — Process Injection (Defense Evasion)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)
  • T1036 — Masquerading (Defense Evasion)
  • T1219 — Remote Access Software (Command and Control)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1496 — Resource Hijacking (Impact)
  • T1598 — Phishing for Information (Reconnaissance)

IOC

  • IPv4 : 62.60.226.248
  • IPv4 : 62.60.178.163
  • Domaines : object.brovanti.com
  • URLs : http://62.60.178.163/ce369e7324834845.php
  • URLs : https://object.brovanti.com/
  • SHA256 : b98b53ca03e3e9009b31bcc37b90b206064b25effce449dde63c51cef6a47470

Malware / Outils

  • Keitaro (tool)
  • DonutLoader (loader)
  • StealC (stealer)
  • ScreenConnect (rat)
  • RustyStealer (stealer)
  • Ymir (ransomware)
  • The White Rabbit (tool)
  • Cloakilio (tool)

🔗 Source originale : https://www.infoblox.com/blog/threat-intelligence/no-reach-no-risk-the-keitaro-abuse-in-modern-cybercrime-distribution/