Abus de Keitaro Tracker : tendances, licences crackées et collisions de cookies CTI

Tue, 07 Apr 2026 00:00:00 +0000

🔍 Contexte

Publié le 31 mars 2026 par Infoblox Threat Intel et Confiant, cet article constitue la partie 3 d’une série sur l’abus du Keitaro Tracker, un système de suivi publicitaire auto-hébergé massivement détourné comme Traffic Distribution System (TDS) et outil de cloaking par des acteurs malveillants.

📊 Sources de données et tendances

L’étude couvre la période du 1er octobre 2025 au 31 janvier 2026 et combine :

Télémétrie DNS passive (pDNS) d’Infoblox : ~226 000 requêtes DNS sur ~13 500 domaines liés à Keitaro
Plus de 8 000 nouvelles inscriptions de domaines attribuées à des acteurs malveillants, concentrées chez 5 registrars : Dynadot, Namecheap, Public Domain Registry, Global Domain Group, Sav
275 millions d’impressions publicitaires analysées via Confiant, révélant ~2 000 domaines hébergeant des instances Keitaro dans des campagnes de malvertising
120+ campagnes spam distinctes, dont 96% liées à des crypto wallet-drainers (AURA, SOL, Phantom, Jupiter)

📅 Événements notables

7 octobre 2025 : Un acteur ciblant des russophones enregistre des centaines de domaines .com via une promotion Dynadot à 6,88$
26 novembre 2025 (Black Friday) : Le même acteur achète en masse des domaines .icu, .click, .digital
30 octobre – 1er novembre 2025 : Pic massif de requêtes DNS attribué à un acteur utilisant Keitaro pour rediriger les utilisateurs ciblés (Android/Allemagne, Windows/USA/Suisse) vers des sites de jeux d’argent en ligne

⚙️ Fonctionnalités Keitaro exploitées

Routing via Campaigns/Flows : filtrage par géolocalisation IP, OS, navigateur, type d’appareil, référent, paramètres URI
Cloaking : intégration avec des kits tiers comme IMKLO, HideClick, Adspect Cloaker (IA, contournement Google/TikTok/Meta)
KClient JS : substitution de contenu côté client sans redirection visible
Antibot : listes d’IP bloquées enrichies par des données tierces partagées sur GitHub et forums

🍪 Collisions de cookies