Keitaro

🌐 Contexte Publié le 11 mai 2026 par DomainTools sur leur portail de recherche, ce rapport constitue une analyse technique et stratégique complète de la campagne d’influence Doppelgänger, attribuée à des acteurs liés à la Russie et opérée par deux entités complémentaires : la Social Design Agency (SDA) et Structura. 🏗️ Structure organisationnelle SDA : organe de planification stratégique et narrative, coordonne le développement des thèmes, le timing et la distribution Structura : fournisseur d’infrastructure technique (enregistrement de domaines, hébergement, systèmes de redirection, analytics) Connexions documentées avec l’Administration présidentielle russe, l’organisation ANO Dialog et Sergei Kiriyenko Couche de personnel synthétique (RRN) : faux organigramme de rédaction avec rôles hiérarchiques (rédacteur en chef, éditeurs, journalistes) basés sur des identités fabriquées 🔧 Architecture d’infrastructure Réseau de sites feeder : ...

🔍 Contexte Publié le 31 mars 2026 par Infoblox Threat Intel et Confiant, cet article constitue la partie 3 d’une série sur l’abus du Keitaro Tracker, un système de suivi publicitaire auto-hébergé massivement détourné comme Traffic Distribution System (TDS) et outil de cloaking par des acteurs malveillants. 📊 Sources de données et tendances L’étude couvre la période du 1er octobre 2025 au 31 janvier 2026 et combine : Télémétrie DNS passive (pDNS) d’Infoblox : ~226 000 requêtes DNS sur ~13 500 domaines liés à Keitaro Plus de 8 000 nouvelles inscriptions de domaines attribuées à des acteurs malveillants, concentrées chez 5 registrars : Dynadot, Namecheap, Public Domain Registry, Global Domain Group, Sav 275 millions d’impressions publicitaires analysées via Confiant, révélant ~2 000 domaines hébergeant des instances Keitaro dans des campagnes de malvertising 120+ campagnes spam distinctes, dont 96% liées à des crypto wallet-drainers (AURA, SOL, Phantom, Jupiter) 📅 Événements notables 7 octobre 2025 : Un acteur ciblant des russophones enregistre des centaines de domaines .com via une promotion Dynadot à 6,88$ 26 novembre 2025 (Black Friday) : Le même acteur achète en masse des domaines .icu, .click, .digital 30 octobre – 1er novembre 2025 : Pic massif de requêtes DNS attribué à un acteur utilisant Keitaro pour rediriger les utilisateurs ciblés (Android/Allemagne, Windows/USA/Suisse) vers des sites de jeux d’argent en ligne ⚙️ Fonctionnalités Keitaro exploitées Routing via Campaigns/Flows : filtrage par géolocalisation IP, OS, navigateur, type d’appareil, référent, paramètres URI Cloaking : intégration avec des kits tiers comme IMKLO, HideClick, Adspect Cloaker (IA, contournement Google/TikTok/Meta) KClient JS : substitution de contenu côté client sans redirection visible Antibot : listes d’IP bloquées enrichies par des données tierces partagées sur GitHub et forums 🍪 Collisions de cookies Les instances Keitaro posent des cookies de tracking (_token, _subid, cookie alphanumérique 5 caractères pour v<11). Ces valeurs étaient utilisées comme signatures d’acteurs, mais l’analyse a révélé des collisions : ...

🔍 Contexte Publié le 26 mars 2026 par Infoblox Threat Intel en collaboration avec Confiant, cet article constitue le second volet d’une étude de quatre mois portant sur l’abus du tracker publicitaire commercial Keitaro par des acteurs malveillants. Confiant surveille près de 90 milliards d’impressions publicitaires par mois. 🎯 Keitaro comme infrastructure criminelle Keitaro est un outil adtech commercial (tracker, TDS et cloaker en un seul produit) massivement détourné par des cybercriminels. Il leur permet d’externaliser la distribution, le ciblage et le routage des victimes sans construire leur propre infrastructure. Plus de 20% des acteurs malveillants suivis par Confiant ont utilisé Keitaro sur la période, certains générant des dizaines de millions d’impressions. ...