Abus de Keitaro Tracker : tendances, licences crackées et collisions de cookies CTI

🔍 Contexte

Publié le 31 mars 2026 par Infoblox Threat Intel et Confiant, cet article constitue la partie 3 d’une série sur l’abus du Keitaro Tracker, un système de suivi publicitaire auto-hébergé massivement détourné comme Traffic Distribution System (TDS) et outil de cloaking par des acteurs malveillants.

📊 Sources de données et tendances

L’étude couvre la période du 1er octobre 2025 au 31 janvier 2026 et combine :

• Télémétrie DNS passive (pDNS) d’Infoblox : ~226 000 requêtes DNS sur ~13 500 domaines liés à Keitaro
• Plus de 8 000 nouvelles inscriptions de domaines attribuées à des acteurs malveillants, concentrées chez 5 registrars : Dynadot, Namecheap, Public Domain Registry, Global Domain Group, Sav
• 275 millions d’impressions publicitaires analysées via Confiant, révélant ~2 000 domaines hébergeant des instances Keitaro dans des campagnes de malvertising
• 120+ campagnes spam distinctes, dont 96% liées à des crypto wallet-drainers (AURA, SOL, Phantom, Jupiter)

📅 Événements notables

• 7 octobre 2025 : Un acteur ciblant des russophones enregistre des centaines de domaines .com via une promotion Dynadot à 6,88$
• 26 novembre 2025 (Black Friday) : Le même acteur achète en masse des domaines .icu, .click, .digital
• 30 octobre – 1er novembre 2025 : Pic massif de requêtes DNS attribué à un acteur utilisant Keitaro pour rediriger les utilisateurs ciblés (Android/Allemagne, Windows/USA/Suisse) vers des sites de jeux d’argent en ligne

⚙️ Fonctionnalités Keitaro exploitées

• Routing via Campaigns/Flows : filtrage par géolocalisation IP, OS, navigateur, type d’appareil, référent, paramètres URI
• Cloaking : intégration avec des kits tiers comme IMKLO, HideClick, Adspect Cloaker (IA, contournement Google/TikTok/Meta)
• KClient JS : substitution de contenu côté client sans redirection visible
• Antibot : listes d’IP bloquées enrichies par des données tierces partagées sur GitHub et forums

🍪 Collisions de cookies

Les instances Keitaro posent des cookies de tracking (_token, _subid, cookie alphanumérique 5 caractères pour v<11). Ces valeurs étaient utilisées comme signatures d’acteurs, mais l’analyse a révélé des collisions :

• TA2726 (distributeur de SocGholish) partage un cookie identique avec des acteurs de scams crypto, dark web, faux sites de rencontres
• Keitaro a confirmé que plusieurs domaines utilisant ce cookie tournaient sur des licences crackées version 9
• Une collision aléatoire validée ; d’autres impliquent des licences volées

🔓 Versions crackées

Des versions “nulled” de Keitaro (7.x à 9.x) circulent sur des forums russophones (UCRACK, NullSEO). Les versions 10.x et 11.x crackées sont rares mais TA2726 et TA576 utiliseraient des licences version 11 volées ou crackées.

🤝 Engagement avec Keitaro Trust & Safety

• Keitaro a migré vers un système de signalement par email : report-abuse@keitaro.io
• Plus de 100 domaines signalés, une douzaine de comptes résiliés
• Un seul acteur est revenu sur Keitaro après résiliation
• Keitaro jugé réactif et proactif dans ses réponses

🏷️ Type d’article

Publication de recherche CTI à visée analytique, documentant l’écosystème d’abus d’un outil légitime, les patterns comportementaux des acteurs, et les résultats d’une collaboration avec l’éditeur du logiciel.

🧠 TTPs et IOCs détectés

Acteurs de menace

• TA2726 (cybercriminal) — Malpedia
• TA576 (cybercriminal) — Malpedia
• Storm-0569 (cybercriminal) — orkl.eu · Malpedia

TTP

• T1583.001 — Acquire Infrastructure: Domains (Resource Development)
• T1608.005 — Stage Capabilities: Link Target (Resource Development)
• T1036 — Masquerading (Defense Evasion)
• T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
• T1566.002 — Phishing: Spearphishing Link (Initial Access)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1090 — Proxy (Command and Control)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1204.001 — User Execution: Malicious Link (Execution)

IOC

• IPv4 : 185.184.123.58 — AbuseIPDB · VT · ThreatFox
• IPv4 : 62.60.246.29 — AbuseIPDB · VT · ThreatFox
• Domaines : tds11111.com — VT · URLhaus · ThreatFox
• Domaines : apiexplorerzone.com — VT · URLhaus · ThreatFox
• Domaines : blessedwirrow.org — VT · URLhaus · ThreatFox
• Domaines : rednosehorse.com — VT · URLhaus · ThreatFox
• Domaines : digdonger.org — VT · URLhaus · ThreatFox
• Domaines : ryptosell.shop — VT · URLhaus · ThreatFox
• Domaines : tonamlchecks.com — VT · URLhaus · ThreatFox
• Domaines : fetchapiutility.com — VT · URLhaus · ThreatFox
• Domaines : rapiddevapi.com — VT · URLhaus · ThreatFox
• Domaines : hmedshop.shop — VT · URLhaus · ThreatFox
• Domaines : juxysij.hkjhsuies.com.es — VT · URLhaus · ThreatFox
• Domaines : swim39.ru — VT · URLhaus · ThreatFox
• Domaines : sunpetalra.com — VT · URLhaus · ThreatFox
• Domaines : scyphoserippleepidosite.com — VT · URLhaus · ThreatFox
• Emails : report-abuse@keitaro.io

Malware / Outils

• SocGholish (loader)
• DarkGate (rat)
• Keitaro Tracker (tool)
• IMKLO (tool)
• HideClick (tool)
• Adspect Cloaker (tool)

🟢 Indice de vérification factuelle : 70/100 (haute)

• ⬜ infoblox.com — source non référencée (0pts)
• ✅ 26484 chars — texte complet (fulltext extrait) (15pts)
• ✅ 17 IOCs (IPs/domaines/CVEs) (10pts)
• ✅ 4/5 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 9 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : TA2726, TA576, Storm-0569 (5pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• 185.184.123.58 (ip) → VT (4/94 détections)
• tds11111.com (domain) → VT (17/94 détections)
• apiexplorerzone.com (domain) → VT (19/94 détections)
• blessedwirrow.org (domain) → VT (17/94 détections)

🔗 Source originale : https://www.infoblox.com/blog/threat-intelligence/patterns-pirates-and-provider-action-what-we-learned-working-with-keitaro/