Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / DE / KEITARO TDS EXPOSED

[REDACTED] TDS aufgedeckt: Verkehrsverteilung

The Enablers Registry·Editorial mirror·/de/keitaro-tds-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Die Tarn-Engine hinter jedem Betrugsversuch, den Sie noch nie gesehen haben. THE ENABLERS REGISTRY hat über 50.000 Websites gescannt, 1.565 [REDACTED]-TDS-Admin-Panels entdeckt und dabei keinen einzigen legitimen Einsatz gefunden. Jedes einzelne Panel stand in Verbindung mit Krypto-Betrug, Possibly phishing, der Verbreitung von Malware oder Schlimmerem. Zu den Kunden zählen EvilCorp, die Ransomware LockBit und VexTrio. Ein Open-Source-Toolkit zur Erkennung, eine 7-Punkte-Methodik und eine vollständige CSV-Datei mit allen Panels wurden nun veröffentlicht.

1.565 Panels gefunden100 % Schadsoftware-Anteil7 Nachweismethoden4 Tools veröffentlicht
[REDACTED] TDS entlarvt
0
Gefundene Admin-Panels
50,000+
Überprüfte Websites
0%
Zulässige Verwendungszwecke
7
Nachweismethoden

Was ist [REDACTED] TDS?

[REDACTED] TDS ist ein kommerzielles Verkehrsverteilungssystem, das von Apliteni OU, ein Unternehmen mit Sitz in Estland. Auf den ersten Blick präsentiert es sich als Tool zur Traffic-Verwaltung für Affiliate-Vermarkter. In der Praxis handelt es sich jedoch um die am weitesten verbreitete Cloaking-Engine im globalen Betrugsökosystem.

Cloaking ist die Kunst, verschiedenen Besuchern unterschiedliche Inhalte anzuzeigen. Wenn ein Sicherheitsforscher, ein Anzeigenprüfer oder ein Strafverfolgungsbeamter eine URL aufruft, erkennt [REDACTED] diese Personen und zeigt ihnen eine saubere, harmlose Seite an. Wenn ein echtes Opfer dieselbe URL aufruft, wird es zu Krypto-Betrugsseiten, Possibly phishing-Seiten, Malware-Downloads oder betrügerischen E-Commerce-Seiten weitergeleitet. Das Opfer sieht niemals die harmlose Version. Der Analyst sieht niemals den Betrug.

Die Preise bei [REDACTED] reichen von 40 bis 400 Euro pro Monat, wodurch es sich als Betrugsbekämpfungsinfrastruktur der Enterprise-Klasse positioniert. Es speichert Besucherdaten für bis zu 9,75 Jahre, wodurch die Betreiber über einen riesigen Datensatz mit Fingerabdrücken der Opfer, geografischen Daten und Verhaltensprofilen verfügen. All diese Daten werden gespeichert auf AWS-Infrastruktur, was bedeutet, dass Amazon unwissentlich das Backend für Tausende von Betrugsoperationen bereitstellt.

Mantelgesellschaft

Apliteni OU Das Unternehmen hat seinen Sitz in Estland und nutzt dort das E-Residency-Programm sowie die günstigen Datenschutzgesetze für Unternehmen. Das Unternehmen wahrt durch professionelles Marketing, Dokumentation und Kundensupport den Anschein von Legitimität – während jeder nachweisbare Einsatz seines Produkts mit kriminellen Aktivitäten in Verbindung steht. Es verlangt 40–400 € pro Monat für eine Plattform, die im Grunde genommen ein „Scam-as-a-Service“-Angebot darstellt und Daten fast ein Jahrzehnt lang speichert.

Die Zahlen: 1.565 Panels, null legitime

Die Untersuchung von THE ENABLERS REGISTRY ging von einer einfachen Hypothese aus: Wenn [REDACTED] TDS legitime Anwendungsfälle hat, sollten wir diese in großem Umfang finden. Wir haben gescannt Über 50.000 Standorte Dabei setzten wir eine Kombination aus automatisierten Tools und manueller Überprüfung ein und suchten gezielt nach [REDACTED]-TDS-Fingerabdrücken. Was wir fanden, war eindeutig.

1.565 aktive [REDACTED]-Admin-Panels wurden entdeckt. Wir haben jeden einzelnen davon analysiert. Das Ergebnis: keine legitimen Bereitstellungen. Kein einziges Panel wurde für rechtmäßiges Affiliate-Marketing, A/B-Tests oder andere harmlose Zwecke genutzt. Jedes einzelne Panel – zu 100 % – stand in Verbindung mit kriminellen Aktivitäten.

1,565
Aktive Felder
100%
Anteil bösartiger Dateien
50.000+
Überprüfte Websites
9,75 Jahre
Maximale Aufbewahrungsfrist für Daten

Aufschlüsselung nach Missbrauchskategorien

Die 1.565 Panels verteilten sich auf sechs Hauptkategorien von Missbrauch. Viele Panels dienten gleichzeitig mehreren Kategorien, wobei [REDACTED] Traffic-Routing genutzt wurde, um Opfer je nach geografischem Standort, Gerät oder Tageszeit auf verschiedene Betrugsarten weiterzuleiten.

Kategorie „Missbrauch“Beschreibung
Krypto-Betrug Gefälschte Investitionsplattformen, Wallet-Leerer, betrügerische Landingpages
Possibly phishing Das Ausspähen von Zugangsdaten bei Banken, E-Mail-Anbietern und sozialen Medien
Verbreitung von MalwareLieferung von Loadern, Vorbereitung von Ransomware, Drive-by-Downloads
Betrug im E-CommerceScheinläden, gefälschte Waren, Skimming von Zahlungskarten
Dating-BetrugLiebesbetrug, Landingpages für Sextortion, gefälschte Profile
Glücksspielbetrug Nicht lizenzierte Casinos, manipulierte Wettplattformen, Diebstahl von Einzahlungen

Anmerkung zur Methodik

Jedes Panel wurde vor der Klassifizierung anhand von mindestens zwei unabhängigen Erkennungsmethoden überprüft. Falschpositive Ergebnisse wurden manuell überprüft und ausgeschlossen. Die Zahl von 1.565 bezieht sich ausschließlich auf bestätigte, aktive [REDACTED]-Installationen – die tatsächliche Anzahl der Bereitstellungen, einschließlich derjenigen hinter zusätzlichen Schutzebenen, ist sicherlich höher.

Namentliche Aufruf der Mandanten in Strafsachen

[REDACTED] TDS wird nicht nur von Kleinkriminellen genutzt. Es ist die bevorzugte Verschleierungsinfrastruktur einiger der gefährlichsten Cyberkriminellen-Organisationen der Welt. Hier sind die dokumentierten Kunden:

EvilCorp

Das mit Sanktionen belegte russische Cyberkriminalitätssyndikat nutzt [REDACTED], um internationale Sanktionen zu umgehen. Indem EvilCorp seine Aktivitäten hinter [REDACTED] Datenverkehrverteilung verbirgt, umgeht das Unternehmen genau jene Sicherheitskontrollen, die darauf ausgelegt sind, es außer Gefecht zu setzen. Jeder Klick, der über [REDACTED] geleitet wird, stellt einen Verstoß gegen die Sanktionen dar, der durch die Software von Apliteni OU ermöglicht wird.

LockBit-Ransomware

Die Ransomware-Gruppe „LockBit“ nutzte [REDACTED] zur Verbreitung von Malware und setzte dessen Verschleierungsfunktionen ein, um sicherzustellen, dass nur die eigentlichen Ziele die Ransomware-Payloads erhielten, während Sicherheits-Sandboxes und Forscher harmlose Inhalte zu sehen bekamen. [REDACTED] wirkte als Kraftverstärker für eine der zerstörerischsten Ransomware-Aktionen der Geschichte.

VexTrio

Der größte bekannte [REDACTED]-Kunde. VexTrio arbeitet mit Über 60 Partner und Bedienelemente 86.832+ Domains, die alle den Datenverkehr über [REDACTED] Verteilungs-Engine leiten. Dieser einzelne Vorgang macht einen enormen Anteil des bösartigen Werbedatenverkehrs im Internet aus, und [REDACTED] ist das Rückgrat, das dafür sorgt, dass dieser unsichtbar bleibt.

ClearFake

ClearFake fügt gefälschte Aufforderungen zu Browser-Updates in kompromittierte Websites ein und verbreitet Malware, sobald die Opfer auf „Aktualisieren“ klicken. [REDACTED] Cloaking-Funktion sorgt dafür, dass nur echte Besucher das bösartige Overlay sehen – Sicherheitsscanner erkennen hingegen die ursprüngliche, saubere Website. Das Ergebnis: Malware-Verbreitung mit einer Erkennungsrate von nahezu null.

FakeBat

FakeBat ist ein Malware-Loader, der über bösartige Werbekampagnen verbreitet wird. [REDACTED] leitet den Werbetraffic über eine Entscheidungs-Engine weiter: Sicherheitsprogramme werden auf legitime Software-Downloadseiten umgeleitet, während echten Nutzern mit Trojanern infizierte Installationsprogramme angezeigt werden. [REDACTED] sorgt dafür, dass die Malvertising-Kampagnen von FakeBat für die Sicherheitsteams der Werbeplattformen praktisch unsichtbar bleiben.

Doppelgänger

Eine mit dem russischen Staat verknüpfte Desinformationskampagne, die [REDACTED] nutzt, um Propaganda in [REDACTED] sozialen Medien zu verbreiten. Durch [REDACTED] geografisches und gerätebasiertes Fingerprinting wird sichergestellt, dass Inhaltsmoderatoren und Faktenprüfer andere Inhalte sehen als die Zielgruppen. Informationskrieg, unterstützt durch kommerzielle estnische Software.

„Wir haben bei jeder größeren Cyberkriminalitätsaktion, die wir in den letzten 18 Monaten untersucht haben, Spuren von [REDACTED] gefunden. Das ist kein Zufall – es ist der Industriestandard für Kriminelle.“

THE ENABLERS REGISTRY-Forschungsteam

7-Punkte-Erkennungsmethode

Im Rahmen dieser Untersuchung entwickelte THE ENABLERS REGISTRY sieben unabhängige Methoden zur Identifizierung von [REDACTED]-TDS-Installationen. Jede Methode zielt auf einen anderen Fingerabdruck ab, den [REDACTED] hinterlässt, und zusammen bilden sie ein umfassendes Erkennungsframework, das nun als Open-Source-Tool zur Verfügung steht.

1. /click_api/v3 Endpunkt

[REDACTED] zentraler API-Endpunkt zur Verarbeitung von Klickereignissen. Dieser Pfad ist fest in der Software programmiert und bei jeder Installation vorhanden. Die Überprüfung dieses Endpunkts ist die schnellste Methode, um eine [REDACTED]-Bereitstellung zu bestätigen. Eine 200- oder 302-Antwort unter diesem Pfad gilt als nahezu sichere Bestätigung.

2. _lp / _token / _subid URL-Parameter

[REDACTED] fügt URLs während Weiterleitungsketten spezifische Tracking-Parameter hinzu. Die _lp Der Parameter identifiziert die Zielseite, _token unterstützt die Sitzungsauthentifizierung und _subid erfasst die Quellen von Unterpartnern. Diese Parameter kommen ausschließlich bei [REDACTED] vor und tauchen in seriösen Traffic-Management-Systemen nur selten auf.

3. [REDACTED]-spezifische Cookies

[REDACTED] setzt spezielle Cookies ein, um Besuchersitzungen zu verfolgen und den Cloaking-Status aufrechtzuerhalten. Diese Cookies folgen anderen Namenskonventionen als herkömmliche Analyseplattformen, wodurch sie durch eine Browser-Überprüfung oder eine automatisierte Cookie-Analyse identifiziert werden können.

4. Muster für Antwort-Header

Die Serverantworten von [REDACTED] weisen charakteristische HTTP-Header-Muster auf, darunter bestimmte Cache-Control-Anweisungen, benutzerdefinierte Header und Zeichenfolgen zur Serveridentifikation, die sich von denen herkömmlicher Webserver unterscheiden. Diese Header bleiben auch dann bestehen, wenn Betreiber versuchen, ihre Installationen anzupassen.

5. JavaScript-Weiterleitungsketten

[REDACTED] nutzt mehrstufige JavaScript-Weiterleitungen, um die Fingerabdrücke der Besucher auszuwerten, bevor entschieden wird, ob die Betrugsseite oder die harmlose Seite angezeigt wird. Diese Weiterleitungsketten folgen vorhersehbaren Mustern – bestimmte Variablennamen, zeitliche Abläufe und Auswertungslogik –, die durch statische und dynamische JavaScript-Analysen erkannt werden können.

Weltweite Heatmap: Weltweit wurden 1.565 [REDACTED]-TDS-Panels entdeckt, 0 legitime Verwendungszwecke gefunden
Weltweite Heatmap: Weltweit wurden 1.565 [REDACTED]-TDS-Panels entdeckt, 0 legitime Verwendungszwecke gefunden
6. Analyse von Domänenmustern

[REDACTED]-Betreiber registrieren Domains in der Regel nach vorhersehbaren Namenskonventionen und Registrierungsmustern. Eine Analyse großer Domain-Mengen zeigt Cluster von Domains mit ähnlichen WHOIS-Daten, Registrierungsdaten, Nameserver-Konfigurationen und Hosting-Anbietern – all dies deutet auf koordinierte [REDACTED]-Bereitstellungen hin.

7. Fingerabdruckerkennung im Admin-Bereich

Auf die [REDACTED]-Admin-Panels kann über bekannte Pfade zugegriffen werden, und sie geben charakteristische HTML-Strukturen, CSS-Klassennamen und JavaScript-Dateien zurück. Selbst wenn Administratoren die Standard-Anmelde-URL ändern, hinterlässt das Frontend-Framework des Panels identifizierbare Spuren, die durch Pfadaufzählung und Content-Fingerprinting erkannt werden können.

Mehrschichtige Sicherheit

Keine einzelne Erkennungsmethode ist absolut sicher. Erfahrene Angreifer können einzelne Signaturen deaktivieren oder verändern. Deshalb funktioniert die 7-Punkte-Methode als mehrschichtiges System – selbst wenn ein Angreifer drei oder vier Signaturen beseitigt, werden die verbleibenden Methoden den Einsatz dennoch als verdächtig kennzeichnen. In unseren Tests war jedes [REDACTED]-Panel mit mindestens vier der sieben Methoden nachweisbar.

Weltweite Infrastrukturkarte

Die 1.565 [REDACTED]-Panels sind über eine globale Hosting-Infrastruktur verteilt, die vor allem auf günstige VPS-Anbieter und Länder mit langen Reaktionszeiten bei Missbrauchsfällen setzt. Hier befinden sich die Panels:

RegionHosting-AnbieterAnmerkungen
Vereinigte StaatenDigitalOcean, Vultr Größte Konzentration an Servern. Das Hosting in den USA sorgt für schnelle Reaktionszeiten für Opfer in Nordamerika.
NiederlandeVerschiedene VPS Beliebt für Kampagnen, die auf Europa ausgerichtet sind. Liberal gestaltete Hosting-Richtlinien.
DeutschlandHetzner, verschiedene Wichtiger Knotenpunkt für Possibly phishing- und E-Commerce-Betrugsaktionen, die auf die EU abzielen.
RusslandVerschiedene kugelsichere Heimatbasis für viele Betreiber. Hosting-Anbieter ohne Maßnahmen gegen Missbrauch.
Vereinigtes KönigreichVerschiedene Clouds Wird eingesetzt, um Finanzinstitute und staatliche Stellen im Vereinigten Königreich anzugreifen.
HongkongFemo-Cluster Eine eigenständige Gruppe von Webseiten, die mit auf Asien ausgerichteten Krypto-Betrugsmaschen in Verbindung steht. Der „Femo-Cluster“ agiert als koordinierte Gruppe.

Die Vorherrschaft der USA

In den Vereinigten Staaten befindet sich die größte Konzentration von [REDACTED]-Panels, vor allem bei DigitalOcean und Vultr. Dabei handelt es sich um etablierte Cloud-Anbieter, die Missbrauchsmeldungen bearbeiten – doch angesichts der Vielzahl der Bereitstellungen und der Geschwindigkeit, mit der Betreiber neue Instanzen einrichten, haben die Teams zur Bekämpfung von Missbrauch ständig alle Hände voll zu tun, um Schritt zu halten.

Der Femo-Cluster

Ein eigenständiger Cluster von [REDACTED]-Panels, der über die Infrastruktur in Hongkong betrieben wird und mit Krypto-Betrug und Glücksspielbetrug auf asiatische Märkte abzielt. Der „Femo-Cluster“ weist koordinierte Einsatzmuster auf, die darauf hindeuten, dass ein einzelner Betreiber oder eine organisierte Gruppe Dutzende von Panels gleichzeitig verwaltet.

AWS-Backend

Unabhängig davon, wo die Frontend-Seiten gehostet werden, läuft [REDACTED] zentraler Datenspeicher auf Amazon Web Services (AWS). Das bedeutet, dass Besucher-Fingerabdrücke, Weiterleitungsprotokolle und Targeting-Daten von potenziell Millionen von Betrugsopfern auf der Infrastruktur von Amazon gespeichert sind. Mit einer Aufbewahrungsdauer von bis zu 9,75 Jahren hostet AWS eine der größten Datenbanken mit Betrugsopfern, die es gibt.

Open-Source-Tools veröffentlicht

Parallel zu dieser Untersuchung veröffentlicht THE ENABLERS REGISTRY ein umfassendes Open-Source-Toolkit zur Erkennung von Angriffen. Alle Tools sind kostenlos, erfordern keine API-Schlüssel und können sofort eingesetzt werden. Der vollständige Datensatz mit 1.565 Panels ist enthalten.

Vollständiges Beweisarchiv

Alle Tools, Daten und Belege werden veröffentlicht unter enablers.report/ScamIntelLogs/[REDACTED]/. Das Repository ist öffentlich zugänglich und wird aktualisiert, sobald neue Panels entdeckt werden. Beiträge aus der Community und zusätzliche Erkennungsmethoden sind willkommen.

Aufdecken, melden, zerschlagen

Wie wir die [REDACTED]-TDS-Panels aufgespürt haben – Methodik der Fingerabdruckanalyse
Wie wir die [REDACTED]-TDS-Panels aufgespürt haben – Methodik der Fingerabdruckanalyse
[REDACTED]-TDS-Datenverkehr – wie bösartige Webseiten die Opfer umleiten
[REDACTED]-TDS-Datenverkehr – wie bösartige Webseiten die Opfer umleiten

[REDACTED] TDS ist die unsichtbare Infrastruktur, die Betrugsmaschen am Leben erhält. Jedes von Ihnen gemeldete Panel, jede von Ihnen vorgenommene Erkennung und jeder von Ihnen geteilte Datensatz trägt dazu bei, dieses Ökosystem zu zerschlagen. Nutzen Sie die Tools. Teilen Sie die Daten. Melden Sie Ihre Funde.

#[REDACTED]#TrafficDistribution#Malvertising#ScamInfra#Investigation

Verwandte Forschungsarbeiten

Die Flut gefälschter Casinos: 5 Plattformen entlarvt
Vergleichende Analyse von vier Casino-PaaS-Betrieben mit 383 bestätigten Opfern in über 30 Ländern.
„Crypto Drainer“-Toolkit aufgedeckt
Wie TRXDrop und NiceCrypto Wallet-Verbindungen missbrauchen, um Krypto-Vermögenswerte zu stehlen.
Das Projekt: Ein 10-Millionen-Dollar-Betrugsimperium
Ein Blick hinter die Kulissen des Betrugsimperiums, das industrialisierte Betrugsoperationen in riesigem Ausmaß betreibt.
Betrugsgruppen im Vergleich
Ein direkter Vergleich der Strukturen, Werkzeuge und Vorgehensweisen organisierter Betrügerbanden.
THE ENABLERS REGISTRY – Tools und Dienstleistungen
Umfassende Suite von Open-Source-Tools zur Erkennung, Analyse und Berichterstellung für Sicherheitsforscher.
Anatomie einer Abschaltung
Eine Schritt-für-Schritt-Anleitung, wie wir Possibly phishing-Infrastrukturen zerschlagen.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings